Voorkom een AVG-boete door je datalek te melden

Gepubliceerd op 27-9-2019 door Quirine Storm van Leeuwen

De wet Algemene Verordening Gegevensbescherming (AVG) is nu anderhalf jaar van kracht en zorgt nog steeds voor verwarring. Er zijn veel bedrijven die zich niet goed hebben beschermd waardoor datalekken ontstaan. Dit blijkt wel uit het feit dat de autoriteit persoonsgegevens de hoeveelheid meldingen van privacyschendingen niet aan kan. Maar zelfs als je je bedrijf wel goed hebt beschermd, geeft dat nog geen garantie. Een datalek kan op veel manieren ontstaan.

voorkom avg-boete

Gartner meldt bijvoorbeeld dat 59% van de datalekken wordt veroorzaakt door medewerkers. De verwachting is zelfs dat het bewaren van persoonlijke data het grootste privacyrisico zal gaan vormen voor 70% van alle bedrijven in 2020. Uit onderzoek dat de Autoriteit Persoonsgegevens (AP) liet doen, bleek dat maar liefst 94% van de mensen zich zorgen maakt over de bescherming van hun persoonsgegevens.

Wanneer is er sprake van een datalek? Hoe hoog zijn de AVG-boetes? Hoe voorkom je een AVG-boete wanneer je een datalek constateert? En welke maatregelen kan je nemen om je bedrijf te beschermen?

Wat is een datalek?

De AVG is in het leven geroepen omdat bedrijven in toenemende mate gegevens van consumenten verzamelen en opslaan. Zo gebruikt de kleinste webshophouder al persoonlijke gegevens zoals namen en adressen om producten op te sturen. De meeste mensen vinden het dan ook belangrijk dat hun gegevens goed worden beschermd. Op het moment dat een bedrijf de gegevens van haar klanten niet goed beschermd, ben je in overtreding. Een datalek hoeft helemaal niet altijd veroorzaakt te worden door een hacker die er met je gegevens vandoor gaat. Er zijn vele soorten datalekken. Je kan bijvoorbeeld per ongeluk informatie over je klanten naar een andere partij hebben gestuurd. Of per ongeluk gegevens hebben gewist. Zelfs het laten liggen van een printje in de printer met persoonlijke informatie wordt een datalek genoemd. Het kan de best beveiligde bedrijven met de best opgeleide mensen overkomen.

Hoe hoog is een AVG-boete?

De boete die de autoriteit persoonsgegevens kan opleggen jaagt veel bedrijven schrik aan. De maximale boete die kan worden opgelegd is 20 miljoen euro of 4% van de wereldwijde jaaromzet waarbij het hoogste bedrag leidend is. In het buitenland zijn er al vele boetes uitgedeeld maar de Autoriteit Persoonsgegevens in Nederland is tot nu toe iets coulanter geweest. Zij hebben zich sinds de AVG-wet in werking is getreden vooral beziggehouden met voorlichting en advies om bedrijven te helpen hun privacybeleid in overeenstemming met AVG te krijgen. De eerste boete die de AP uitdeelde was dan ook niet voor een bedrijf dat zijn privacybeleid niet op orde had maar voor een datalek dat niet op tijd werd gemeld. Dit ging om een boete van €600.000 aan Uber. In het jaarrapport van 2018, geeft de Autoriteit Persoonsgegevens aan dat ze in 2019 nog beter gaan letten op het niet op tijd melden van datalekken.

Gevolgen datalek

De boete alleen al is voor de meeste bedrijven reden genoeg om zich zorgen te maken over datalekken. Maar het verliezen van data heeft nog meer nadelige gevolgen. Enkele voorbeelden zijn:

  • Een datalek kan ervoor zorgen dat je klanten het vertrouwen in je bedrijf verliezen waardoor ze besluiten om geen diensten of producten meer van je af te nemen.
  • Een datalek met grote gevolgen kan je ook je reputatie kosten waardoor het moeilijker wordt om nieuwe klanten aan te trekken.
  • Van de informatie kan misbruik worden gemaakt, denk aan identiteitsdiefstal.

Bescherm  je bedrijf tegen een datalek

Het is dus heel belangrijk dat je je bedrijf goed beschermt. De Autoriteit Persoonsgegevens (AP) heeft een stappenplan beschikbaar gesteld om organisaties te helpen. Maar er bestaat ook software waarmee je de naleving van de AVG (en andere informatiebeveiligingsregels) kan controleren en uitvoeren.

Voorbeelden van AVG- compliance software zijn: AVGonline,  Cloud-based Tokinization, LogicGate, GDPR365, Boxcryptor of Log360. Met deze softwaretools kan je verwerkingenregisters aanmaken, vragen beheren en automatische meldingen van datalekken aan de juiste instanties instellen.

Verder is het net zo belangrijk om medewerkers goed te informeren en uit te leggen hoe ze zichzelf en het bedrijf kunnen beschermen tegen hackers. Bijvoorbeeld door een cybersecurity speurtocht te organiseren. Maar wat moet je doen om een hoge AVG-boete te voorkomen wanneer je onverhoopt toch een datalek hebt?

Welke datalekken moet je melden?

Je hoeft niet elk datalek te melden. Sommige soorten datalekken geven geen risico. Dat wil zeggen dat ze geen impact hebben op de rechten en vrijheden van personen, bijvoorbeeld wanneer je je adressenbestand per ongeluk wist. Dat wil niet zeggen dat het wissen van gegevens geen risico is want wanneer de medische gegevens van een patiënt worden gewist dan is er sprake van een hoog risico als de patiënt daardoor geen zorg kan krijgen. Het is dus heel belangrijk om te onderzoeken wat de impact van een datalek is.

Hoe voorkom je een AVG-boete?

Allereerst zoek je dus uit welk risico het datalek vormt. Als uit je onderzoek blijkt dat het gaat om een datalek dat gemeld moet worden, dan ben je wettelijk verplicht om dit binnen 72 uur te doen. Doe je dat niet, dan ben je niet AVG-compliant. De Autoriteit Persoonsgegevens geeft op haar website aan dat een datalek iedere organisatie kan overkomen. Je hoeft dus niet bang te zijn dat je slapende honden wakker maakt en jezelf een hoge boete op de hals haalt door een datalek te melden. Maar zoals de boete aan Uber laat zien, krijg je zeker een AVG-boete als je een datalek niet of te laat meldt en de autoriteit persoonsgegevens er toch achter komt.

Wanneer je constateert dat het datalek een hoog risico vormt, dan ben je ook verplicht om de gedupeerde personen in te lichten. Zo kunnen zij ook maatregelen nemen. Bijvoorbeeld wanneer de kans bestaat dat informatie kan worden gebruikt voor het vervalsen van identiteiten.

Elk datalek, ook de datalekken die je niet bij de autoriteit persoonsgegevens hoeft te melden, moet worden geregistreerd in je datalekregister. Je register is het bewijs dat jij je aan de meldplicht datalekken houdt. De bedoeling is ook dat je door je datalekken te registreren leert van eerdere lekken en dat je maatregelen neemt om soortgelijke datalekken in de toekomst te voorkomen.

Tip: Een datalekregister kan je natuurlijk lekker ouderwets zelf in Excel maken maar er bestaat ook speciale software voor je AVG-dataregister.