Waste Insight
The hybrid ERP solution powered by AFAS software PieterBas Automatisering

Meldplicht datalekken in de afvalbranche

14 juli 2017
Regelgeving & Standaards,
0 Reacties
Datalekken privacy Monique Hennekens blog afvalindustrie Waste Insight PieterBas Automatisering AFAS Software

Sinds 1 januari 2016 bestaat de verplichting voor alle organisaties om datalekken binnen 72 uur aan de Autoriteit Persoonsgegevens te melden. Er is sprake van een datalek als persoonsgegevens verloren zijn gegaan of toegankelijk kunnen zijn voor onbevoegden. Denk bijvoorbeeld aan een verloren laptop met de stortgegevens binnen een gemeente, een hack in het bestand met DIFTAR-gegevens of een e-mail met het klantenbestand naar een verkeerde ontvanger.


Monique Hennekens Hekkelman Advocaten gastblogger Waste Insight AFAS PieterBas Automatisering

Auteur Monique Hennekens is advocaat bij Hekkelman Advocaten. In een serie posts voor het Waste Insight-blog over privacy belicht ze voor de afvalindustrie de belangrijkste onderwerpen. Monique heeft ruime ervaring met het bijstaan van diverse organisaties in privacy en IT-projecten. Op privacygebied adviseert zij over vraagstukken die betrekking hebben op zowel Nederlandse als Europese privacyregelgeving en geeft zij regelmatig cursussen en (in house) trainingen. Op IT-gebied  begeleidt zij zowel leveranciers als afnemers bij diverse IT-projecten en bij het beoordelen of opstellen van contracten, zoals ERP (raam)overeenkomsten, hostingovereenkomsten, softwarelicenties en SLA’s.


Wat is een datalek?

Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan, zoals vernietiging van data zonder actuele back up, óf persoonsgegevens ‘op straat liggen’. Denk hierbij aan een verloren USB-stick, malware, gestolen smartphone, persoonsgegevens die naar een verkeerde ontvanger zijn gestuurd of persoonsgegevens die bij het oud papier zijn gezet.

Melden bij de Autoriteit Persoonsgegevens

Als er ernstige nadelige gevolgen kunnen zijn voor de bescherming van de persoonsgegevens zal een datalek onder de huidige Wet bescherming persoonsgegevens (Wbp) binnen 72 uur moeten worden gemeld bij de Autoriteit Persoonsgegevens. Of er moet worden gemeld hangt af van de risico’s voor degene van wie persoonsgegevens zijn gelekt. De Autoriteit Persoonsgegevens heeft beleidsregels geschreven waar in staat hoe die afweging kan worden gemaakt. Het gaat vooral om de vraag of de gegevens die zijn gelekt van gevoelige aard zijn. Als een kopie van een paspoort bij een verkeerde ontvanger terecht komt, dan zal er gemeld moeten worden. Dit document met BSN, pasfoto en handtekening bevat zeer gevoelige persoonsgegevens, omdat daar gemakkelijk identiteitsfraude mee kan worden gepleegd. Wordt een e-mail naar een verkeerde ontvanger verstuurd waarin bijvoorbeeld de stortgegevens van een specifiek adres worden opgevraagd dan is er geen sprake van een datalek dat moet worden gemeld. Dan kan worden volstaan met de verkeerde ontvanger te verzoeken het mailtje te wissen.

Informeren van de getroffen personen

Als een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens, moet ook worden beoordeeld of de getroffen personen op wie de gelekte persoonsgegevens betrekking hebben moeten worden geïnformeerd. Als het datalek ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer dan is het verplicht om ook de personen te informeren. Als bijvoorbeeld een bestand met inloggegevens is gehackt dan moeten de betreffende personen worden geïnformeerd. Datzelfde geldt voor het lekken van een kopie van een paspoort. Kwaadwillende personen kunnen deze gegevens misbruiken. Bovendien kunnen de getroffen personen maatregelen nemen om zichzelf te beschermen als ze weten dat deze gegevens op straat kunnen liggen, bijvoorbeeld door hun inloggegevens te wijzigen.

Wie moet er melden of informeren?

De gemeente heeft de taak om afval in te (laten) zamelen en geldt als verantwoordelijke in de zin van de privacyregelgeving. De gemeente moet aan alle wettelijke verplichtingen voldoen, dus ook aan de meldplicht datalekken. De gemeente zal in principe zelf moeten melden. Zij kan ook afspreken dat andere partijen voor haar melden., zoals afvalinzamelaars of de softwareleveranciers. Maar ook dan zal de gemeente als verantwoordelijke moeten worden vermeld in het meldformulier. In mijn volgende blogpost zal ik ingaan op de afspraken die tussen gemeenten en een afvalinzamelaar of softwareleverancier gemaakt moeten worden. 

Risico’s bij niet melden

Als ten onrechte een datalek niet wordt gemeld kan de Autoriteit Persoonsgegevens een boete opleggen tot 820.000 euro of zelfs 10 procent van de jaaromzet van de onderneming. Daarnaast kan flinke reputatieschade worden opgelopen. Een melding van een datalek is niet openbaar, maar een onderzoek van de Autoriteit Persoonsgegevens waarbij een boete wordt opgelegd wel en wordt ook actief gepubliceerd.

Heeft u al gemeld?

Er zijn in 2016 bijna 5.500 meldingen van datalekken gedaan en in het eerste kwartaal van 2017 waren er 484 meldingen vanuit de sector openbaar bestuur. Het meest voorkomende datalek was het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (45 procent van de meldingen). Heeft u die e-mail die naar een verkeerd adres was gestuurd gemeld? Dat kan alleen als u ook weet dat die e-mail is verstuurd. Bewustzijn binnen de organisatie is daarom belangrijk. Als daar nog geen interne procedure voor bestaat is het verstandig die op te stellen.

Conclusie

Bij de inzameling van afval worden zowel door de gemeenten als door afvalinzamelaars en softwareleveranciers persoonsgegevens verwerkt. Als persoonsgegevens verloren gaan of kunnen worden gebruikt door onbevoegden is er een datalek. Als er ernstige nadelige gevolgen kunnen zijn, zal dat datalek moeten worden gemeld bij de Autoriteit Persoonsgegevens.

Checklist procedure meldplicht datalekken Waste Insight PieterBas Automatisering AFAS Software

Ook zal moeten worden beoordeeld of de getroffen personen moeten worden geïnformeerd. Het is daarom goed om een procedure meldplicht datalekken in te richten. Klik op de afbeelding om de checklist procedure meldplicht datalekken te downloaden.

Wilt u meer weten?

Informatie over de meldplicht datalekken is te vinden op de website  van de Autoriteit Persoonsgegevens. Daar kan ook het kwartaaloverzicht worden gedownload met meldingen over het eerste kwartaal 2017. Een datalek melden kan via het meldloket van de Autoriteit Persoonsgegevens.

Lees ook:
Ruim half jaar meldplicht datalekken – heeft u al gemeld?

Dit is een blogpost in een serie over privacy in de afvalindustrie. De eerdere blogposts van Monique gingen over:
Persoonsgegevens verwerken in de afvalbranche, wat houdt dat in?
Afvalpas? Leg eerst de doeleinden vast!
Persoonsgegevens verwerken met een afvalpas: wat is de grondslag?
Privacy en de afvalpas: verwerk niet meer gegevens dan noodzakelijk
Privacy en de afvalpas: informatieplicht
Beveiliging persoonsgegevens in de afvalbranche
Arnhemse afvalpaszaak: wat kan de afvalbranche ermee?

Haar volgende blogpost gaat over: ‘Privacy in de afvalbranche: welke afspraken moeten er worden gemaakt?’.

Wilt u meer weten over privacy in de Nederlandse afvalindustrie? Neem dan contact op met Monique Hennekens. Klik op deze link voor haar gegevens. Of blijf op de hoogte en volg Waste Insight op Twitter of LinkedIn.

Reageer op dit artikel