Automatisering heeft veel voordelen voor ondernemers, maar brengt ook risico’s met zich mee als het gaat om schending van de privacy van klanten en medewerkers. De Algemene Verordening Gegevensbescherming (AVG) stelt eisen als het gaat om de verwerking van persoonsgegevens. Het internet staat er bol van als het gaat om privacy, maar wat betekent dit voor de verwerking van persoonsgegevens in een geautomatiseerd systeem? En nog belangrijker, wat zijn de gevolgen van een datalek?
In mijn vorige column (editie 6, 2023) heb ik omschreven welke eisen de AVG stelt aan de verwerking van persoonsgegevens. In deze column zal ik ingaan op de gevolgen indien uw organisatie niet voldoet aan deze eisen en op welke wijze de schade in dat geval beperkt kan blijven. Bij een datalek worden persoonsgegevens met anderen gedeeld zonder toestemming of zonder dat dit de bedoeling is. Hierbij kunt u denken aan inzage in een medisch dossier door een derde zonder toestemming van de betrokkene. Een ander voorbeeld is het verliezen van een USB-stick met persoonsgegevens.
Er zijn drie soorten datalekken. Deze soorten zijn niet strikt gescheiden. Een datalek kan dus in meerdere categorieën vallen:
- Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn zonder toestemming gedeeld met een derde.
- Inbreuk op de integriteit: persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is.
- Inbreuk op de beschikbaarheid: de organisatie waar sprake is van een datalek, kan niet meer bij de persoonsgegevens komen of de persoonsgegevens zijn vernietigd.
Indien er sprake is van een datalek dient er in bepaalde gevallen, binnen 72 uur, een melding te worden gedaan bij Autoriteit Persoonsgegevens (AP) en bij de slachtoffers. Om te bepalen of een melding moet worden gemaakt, zal er eerst een risico-inschatting worden gemaakt. Een risico-inschatting wordt gemaakt door middel van factoren, zoals de aard en de gevoeligheid van de gelekte informatie en de ernst van de gevolgen voor de slachtoffers van een datalek.
Als uw organisatie een datalek niet meldt, maar dit wel had moeten doen op basis van een risico-inschatting, dan kan de AP een boete opleggen. De bedragen van de boetes kunnen zeer hoog zijn. Op de schending van de meldplicht van een datalek staat een maximale boete van 10 miljoen euro of 2% van de wereldwijde jaaromzet.
Het is natuurlijk allereerst van belang dat uw organisatie voldoet aan de eisen van de AVG. Indien dit niet het geval is, dient uw organisatie ervoor zorg te dragen om de gevolgen van een datalek te beperken. Ik adviseer hierbij alleen persoonsgegevens op te slaan in de database die u echt nodig heeft. Hierdoor is de schade van een eventuele datalek beperkt tot deze persoonsgegevens. Indien uw organisatie een datalek heeft, adviseer ik u om uit voorzorg de AP en de slachtoffers in te lichten
Mr. Jacqueline Brouwer is u graag van dienst om te zorgen dat uw onderneming voldoet aan de AVG.