Home > Trending > Wet bescherming persoonsgegevens. Wat is dit nu eigenlijk? Een datalek. Hoe meld ik dit en bij wie? We leggen het uit.
9 september 2016 | Rene de Grauw, GM Operations

Al jarenlang ben je bezig met je zaak. En het gaat goed. Je bent gegroeid als kool en je hebt inmiddels een aanzienlijk klantbestand en een gezonde orderportefeuille. Je klanten kennen je product en zijn tevreden. Je hebt weinig last van ICT en je leverancier denkt goed mee over de ontwikkelingen. En nu lees je op Ondernemersplein opeens over de Wet bescherming persoonsgegevens, die is ingegaan op 1 januari 2016. Vorig jaar las je er al over en toen dacht je nog: dat geldt niet voor mij. En toch knaagt het. En wat blijkt, terecht.

Wat is de Wet bescherming persoonsgegevens?
De Wet bescherming persoonsgegevens bepaalt dat u met persoonsgegevens van uw klanten en werknemers zorgvuldig moet omgaan. Maar wat is dan precies zorgvuldig? Allereerst dien je de gegevens te beveiligen tegen verlies of diefstal. Ook moeten je klanten en medewerkers weten wat je met hun gegevens doet. Voor papieren gegevens is dat gemakkelijk. Maar hoe doe je dat digitaal? En in hoeverre ben je hiervoor verantwoordelijk? Doe je überhaupt wel aan gegevensverwerking?

Bewerker of verantwoordelijke van persoonsgegevens, of niet?

Deze wet maakt onderscheid tussen diegene die bewerker is, die
verantwoordelijk is en diegene die dit niet is. Van belang is dit te benaderen vanuit de rechtspersoon of organisatie die de gegevens verwerkt. Via het volgende schema is dit
gemakkelijk te bepalen:

De verantwoordelijke is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Denk hierbij aan persoonsgegevens weteen bedrijf dat persoonsgegevens van zijn werknemers bijhoudt met het oog op de salarisadministratie (naam, adres, bankrekeningnummer enz.). Het bedrijf is verantwoordelijk voor de gegevens.

De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In bovengenoemd voorbeeld zou een salarisadministratiekantoor, dat voor het bedrijf de salarisadministratie afhandelt, bewerker zijn. Indien er sprake is van een bewerker is de verantwoordelijke verplicht een bewerkersovereenkomst te sluiten met de bewerker. 

Wanneer ben je een bewerker?
Nu kan het wellicht lastig zijn om te bepalen of jouw ICT leverancier volgens de regel een bewerker is. Heb je een leverancier waarbij je alleen een pakket software afneemt (on-premise installatie), dan verwerkt die geen gegevens. Dat doe je zelf. Die leverancier is dus geen bewerker.

Een voorbeeld 
Een leverancier die een dienst levert waarbinnen persoonsgegevens worden gebruikt, is wel een bewerker. Denk aan een hosted CRM-systeem: je slaat dan klantgegevens op bij de beheerder daarvan. (Dit geldt ook bij een app leverancier die gegevens opslaat bij zijn eigen server. Die app is weliswaar on-premise, maar de server is gewoon een dienst).

SaaS diensten en opslagdiensten vereisen dus altijd een bewerkersovereenkomst als er persoonsgegevens worden opgeslagen.

Een uitzondering
Een uitzondering hierop is als de dienstverlener niet bij de feitelijke persoonsgegevens kan. Denk aan een versleutelde back-up dienst, waarbij je zelf als enige de sleutel hebt. De versleutelde data telt dan niet als persoonsgegevens, en dus is de dienstverlener geen bewerker.

Een twijfelgeval, of niet?
Twijfelachtig wordt het als de leverancier er wel bij kán maar dat niet mág. Denk aan een externe systeembeheerder met wie je afspreekt dat hij alleen met aparte toestemming mappen met persoonsgegevens opent. Als je dat niet technisch blokkeert, dan kan hij erbij. Je kunt hem dan zien als een bewerker (want hij handelt in jouw opdracht, je hebt hem ingehuurd en onder voorwaarden mag hij erbij).

Datalek wet

Wat is een bewerkersovereenkomst?
De bewerkersovereenkomst is de overeenkomst tussen verantwoordelijke en bewerker, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. In bovengenoemd voorbeeld moeten het bedrijf en het salarisadministratiekantoor dus een schriftelijke overeenkomst met elkaar aangaan. Het valt onder de verantwoordelijkheid van de verantwoordelijke dat dit ook gebeurt.

Altijd een overeenkomst vereist
Als een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, is altijd een bewerkersovereenkomst tussen beiden verplicht. Dit geldt ook als de bewerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is, Contract wetof in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens ‘uitbesteedt’, is een schriftelijke overeenkomst vereist. 

Besef dat er al gauw sprake is van ‘verwerken’ van persoonsgegevens: het inzien van de gegevens door een externe helpdesk is al een verwerking. Daardoor hebben de meeste ICT leveranciers reeds bewerkersovereenkomsten met hun klanten.

Wat moet er in een bewerkersovereenkomst staan?Bewerkersovereenkomsten zijn er uiteraard in vele vormen. Echter, de meeste daarvan bevatten globaal gezien de volgende punten waar je samen overeenstemming over bereikt:

  • Geheimhouding
  • Beveiligingsmaatregelen
  • Inschakelen van derden en onderaannemers
  • Locatie van de data
  • Audits
  • Aansprakelijkheid

Maar wat moet ik nu doen om veilig te zijn?
Het is duidelijk dus dat het vooral gaat over het beveiligen van informatie. Op basis van de informatie en de classificatie daarvan kan worden bepaald welke stappen er gezet dienen te worden. De volgende basisstappen helpen om een blijvend passend beveiligingsniveau te bereiken:

  1. Beoordeel de risico’s

Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen. Bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de bedreigingen die kunnen leiden tot een beveiligingsincident, de impact die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref (eventueel samen met uw ICT leverancier) op basis daarvan gerichte beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.

  1. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden

Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, -standaarden en maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken. Een zeer veel gebruikte beveiligingsstandaard is de Code voor Informatiebeveiliging ISO 27001.

  1. Controleer en evalueer regelmatig

Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel regelmatig of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen. Check ook of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij uw leveranciers die u kunnen helpen met de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligingsmaatregelen aan, eventueel samen met uw ICT leverancier.

Er treedt toch een datalek op, wat nu?
Ondanks alle maatregelen kan het nog steeds voorkomen dat er een lek optreedt. Er kan bijvoorbeeld iemand een USB stick verliezen, of een laptop blijft ingelogd open staan op een werkplek waar iemand zich ongeoorloofd toegang tot verschaft. Of een afgeschreven printer bevat nog lokale opslag waar de draft versie van het nog niet gepubliceerde jaarrapport nog uit te lezen is. Betreft het een ernstig datalek dan treedt de meldplicht in werking. Generiek kan je stellen dat er sprake is van meldplicht als het lek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Je kunt via deze richtlijn bepalen of er sprake is van een ernstig datalek: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf

Hoe meld ik een datalek?
Een datalek dient te worden gemeld bij de Autoriteit Persoonsgegevens, en in sommige gevallen ook bij de betrokkene(n). Hier is sprake van als voor de betrokkenen (de personen van wie u gegevens verwerkt) een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Hoe doe ik dat?
De melding kan worden gedaan op de website van de Autoriteit Persoonsgegevens. Deze leidt je stapsgewijs door de vaststelling van het lek en de te treffen maatregelen. Hou er rekening mee dat dit een gedegen onderzoek vooraf vereist. Denk daarbij aan een goed inzicht in de impact, de startdatum en tijd, de aard van de inbreuk, etc. Aanvullend wordt ook gevraagd naar de huidige en te nemen maatregelen, op technisch en organisatorisch vlak maar ook op het vlak van communicatie. Met wie is erover gecommuniceerd, en wat is er gecommuniceerd? Zie hieronder de pagina waarop een melding kan worden gedaan:

https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1

Samenvatting
Begin dus met bepalen of je actie moet ondernemen, bepaal of je bewerker of verantwoordelijke bent aangaande persoonsgegevens van uw klanten en/of uw werknemers. Breng op basis daarvan de risico’s in kaart en de eventueel te nemen maatregelen. Betrek waar nodig uw leverancier. En zorg dat dit een herhalend proces wordt. Zo voorkomt u geen datalek, maar verlaagt u wel sterk de kans daarop en het risico. Zo kunt u zich weer richten op de groei van uw bedrijf, en op die nieuwe opdracht die snel de deur uit moet.

Wilt u telefonisch informatie over de meldplicht datalekken?
Op deze website vindt u informatie en antwoorden op vragen over de meldplicht datalekken. Heeft u op deze website geen antwoord op uw vraag gevonden? Dan kunt u contact opnemen met mij. Ik praat u graag bij. U kunt mij bereiken op: 085 00 29 000 of stuur mij een e-mail: r.degrauw@dutchict.nl dan neem ik zo snel mogelijk contact met u op.

René de Grauw – General Manager Operations

Rene de Grauw

 

< terug

Deel dit artikel op social media:

Bronnen:

  • “CBP Richtsnoeren – Beveiliging van persoonsgegevens” – www.cbp.nl
  • “Handleiding wet bescherming persoonsgegevens” – www.rijksoverheid.nl
  • “Handleiding voor verwerkers van persoonsgegevens” – Ministerie van justitie
  • “Bewerkersovereenkomst” – www.justitia.nl
  • “Meldingsformulier datalekken” – Autoriteit Persoonsgegevens
  • “Wet bescherming persoonsgegevens” – wetten.overheid.nl

Reacties