Sinds de invoering van de AVG dienen datalekken verplicht te worden gemeld. Deze week meldt de Autoriteit Persoonsgegevens in een nieuw rapport, dat het aantal meldingen flink is gestegen. Zo ging het in de eerste helft van 2019 om 11.906 datalekken. Naar verwachting zal het aantal meldingen in 2019 14 procent hoger uitvallen dan in het voorgaande jaar. In 2018 was er namelijk al sprake van zo een 8.898 meldingen! De meeste meldingen komen uit de zorg (31%), de financiële sector (20%) en het openbaar bestuur (19%).
Voordat de AVG in werking was getreden in 2018, was het al verplicht vanaf 2016 voor organisaties om een ernstige datalek te melden. Het melden van een datalek is van belang, omdat op deze wijze wordt voorkomen dat er persoonsgegevens op straat terechtkomen. De melding dient dan ook te worden gedaan binnen 72 uur na het ontdekken van het lek. Een datalek betekent volgens de Autoriteit Persoonsgegevens: ‘een onrechtmatige toegang tot of vernietiging, wijziging of het vrijkomen van persoonsgegevens’. Dit betekent dat niet alleen het ‘lekken’ van data verboden is, maar ook het verwerken van persoonsgegevens op een onrechtmatige wijze. Daarbij kan het gaan om een kwijtgeraakte laptop of USB-stick, een hack of een lek in de beveiliging van de laptop. Zo is er recent zelfs een bijzonder geval geweest, waarbij een ‘onschuldig’ boodschappenlijstje is kwijtgeraakt op een geprint document waarop zich patiëntgegevens (!) bevonden. Dit is aan het licht gekomen doordat hierover een melding is gemaakt bij de Autoriteit Persoonsgegevens.
Bijna ieder bedrijf verwerkt persoonsgegevens. Naast de ‘gewone’ bedrijfsdata, heeft iedere onderneming namelijk informatie die naar een persoon te herleiden is. Een goede beveiliging is op zijn plaats, maar helaas kan een potentieel datalek in een klein hoekje schuilen. Wanneer er een datalek plaatsvindt en er geen melding daarvan wordt gemaakt, kan dit leiden tot een hoge boete. De boete kan oplopen tot maximaal 4% van de wereldwijde jaaromzet, afhankelijk van de categorie waarin de overtreding valt. Zo legde de Autoriteit Persoonsgegevens in 2018 een boete van 600.000 euro op aan de taxidienst Uber voor het verzwijgen van een datalek. De taxidienst had de hackers die de datalek hadden veroorzaakt, 100.000 euro aan zwijggeld betaald, om zo geen melding te hoeven maken. De les die we hieruit kunnen trekken, is dat indien er sprake is van een ernstig datalek, er 9 van de 10 keer een melding moet worden gemaakt! Om te beoordelen of een datalek gemeld moet worden, is enige kennis en expertise vereist.
Meer weten? Advies nodig? Neem contact op!
Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!
Blog reactie
"*" geeft vereiste velden aan