Wat je moet weten over de Wet Datalek Meldplicht

Wet Datalek Meldplicht, wat houdt het in?

Sinds 1 januari 2016 is de wet Datalek Meldplicht van kracht. Deze wet geldt voor zowel bedrijven als overheden die persoonsgegevens verwerken.

Als je een webshop runt heb je hier ook direct mee te maken. Om een bestelling af te ronden heb je immers persoonsgegevens van een klant nodig. Het is dus van groot belang dat jij als webshopeigenaar weet van je plichten als het gaat om hoe je met deze privacygevoelige gegevens om gaat.

Wet Datalek Meldplicht in een notendop

Vanaf 1 januari 2016 ben jij als webshopeigenaar verplicht om een melding te doen bij het CBP (College Bescherming Persoonsgegevens) zodra er persoonsgegevens gelekt zijn door een beveiligingsincident. Denk aan een hack waarbij men toegang heeft gekregen tot je database, maar ook aan het verliezen van een laptop in de trein waarmee je je orders afhandelt.

Naast melding te maken bij het CBP dien je in ernstige gevallen ook de betrokkenen (dus de mensen van wie de persoonsgegevens zijn gelekt) op de hoogte te stellen.

O jeej, een beveiligingsincident. Wat nu?

De wet Datalek Meldplicht heeft een getrapt model, dat er zo uitziet:

Dit model is afkomstig uit de officiële beleidsregels van het CBP.

Als er er onverhoopt iets is gebeurd dien je dus eerst voor jezelf na te gaan of er sprake is van een beveiligingsincident en of er persoonsgegevens verloren zijn gegaan. Dit wordt vrij ver doorgetrokken: stuur je een mailtje met orderdetails per ongeluk naar de verkeerde persoon, dan zijn er volgens het CBP al persoonsgegevens gelekt. Je zult dan melding moeten doen bij het CBP.

Melden binnen 72 uur

Zo’n incident dien je binnen 72 uur te melden, ‘voor zover mogelijk’. Die 72 uur gaat in op het moment dat je er zelf achterkomt. Kom je dus pas na 3 dagen erachter dat je gehackt bent, dan gaan vanaf dan de 72 uur in. Het CBP wil natuurlijk wel voorkomen dat men uit angst alles maar meldt, puur om die 72 uur te halen. Vandaar de ‘voor zover mogelijk’ …

Wanneer moet je ook de betrokkenen informeren?

Merk op dat het een getrapt model is. Als je vaststelt dat je het volgens de wet niet hoeft te melden bij het CBP, dan hoef je ook de betrokkenen niet te informeren (dat mag natuurlijk wel).

Ook als je het wel bij het CBP moet melden, betekent dit nog niet dat je de betrokkenen op de hoogte moet stellen. Je bent hiertoe pas verplicht als “het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Deze omschrijving is vrij vaag en soms moeilijk te hanteren. Gelukkig zal het in de praktijk zo zijn dat het CBP jou laat weten of het nodig is om te betrokkenen te informeren of niet.

Is de gelekte data beveiligd door middel van encryptie of hashing? In de beleidsregels staat hierover het volgende: “Als u passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten.” Je moet het lek dan wel melden bij het CBP, maar niet aan de betrokkenen. Dit betekent in de praktijk echter wel dat je geregeld moet controleren of de encryptie nog intact is. (Dat houdt je van de straat, zeg maar …)

Kans op een fikse boete

Als je bij het CBP melding maakt van een datalek betekent dat niet dat je direct een boete krijgt opgelegd. In de meeste gevallen krijg je een ‘bindende aanwijzing’ om je beveiliging aan te scherpen. Het CBP kan je wél direct een boete opleggen als “de overtreding opzettelijk is gepleegd of als er sprake is van ernstig verwijtbare nalatigheid”.

Wat is ernstige verwijtbare nalatigheid?

‘Opzettelijk overtreding’, die is duidelijk. Als je persoonsgegevens doorverkoopt aan derden is er sprake van opzet. Maar ‘ernstige verwijtbare nalatigheid’, wat is dat? Ben je al nalatig als je niet op de laatste Magento software draait, als je niet elke patch hebt geïnstalleerd, als je geen SSL certificaat gebruikt? In artikel 66 lid 4 van de Wet Bescherming Persoonsgegevens zie je dat er geen enkel woord aan vuil wordt gemaakt.

In de juridische wereld wordt dan al snel gesproken over ‘gangbare veiligheidsmaatregelen’. Maar wat dát dan precies is, zullen we voor onszelf moeten bepalen. Uiteindelijk is het het CBP dat bepaalt of jou ernstige nalatigheid kan worden verweten. Natuurlijk kun je dit oordeel wel altijd aanvechten bij de rechter.

Hoogte van de boete

De hoogte van de boete kan oplopen tot 820.000 euro of 10% van de omzet. Deze bedragen kunnen in de praktijk natuurlijk nogal uiteenlopen. Die 10% van de omzet wordt waarschijnlijk genoemd voor bedrijven en situaties waarbij 820.000 euro niet genoeg is. Een opzettelijk datalek wordt gezien als een serieus vergrijp en voor bedrijven met een flinke omzet kan 820.000 euro een peulenschil zijn.

Welke voorzorgsmaatregelen kun je nemen?

Omdat voorkomen beter is dan genezen, hebben we 5 handige tips voor je opgesteld:

Tip 1

Zorg dat je een SSL certificaat gebruikt, zodat klantgegevens versleuteld worden verstuurd.

Tip 2

Houd je site up-to-date. Houd in de gaten of de software die je gebruikt updates en/of patches aanbiedt en installeer deze zo snel mogelijk. Vooral security updates dien je binnen 24 uur door te voeren.

Tip 3

Werk niet aan je site op openbare computers als je er niet heel zeker van bent dat er geen verouderde software of keyloggers gebruikt wordt.

Tip 4

Monitor nauwlettend wat er op je site gebeurt. Als je hier strak op zit ben je een eventuele hacker al op het spoor voordat hij/zij schade kan aanrichten. Er zijn verschillende programma’s die je hierbij kunnen helpen, zoals NeoPI.

Tip 5

Zorg dat je een plan hebt liggen voor als het onverhoopt toch mis is gegaan. Een soort ‘data lek response planning / team’. Hoe uitgebreid je dat maakt hangt natuurlijk af van hoe groot je organisatie is. Maar bedenk je dat je niet erg lang de tijd hebt om het lek te melden en het scheelt al de helft aan paniek als je weet wat je moet doen. En wié wat moet doen.

Vond je deze les nuttig? Deel hem via:

U gebruikt een verouderde versie van Internet Explorer die niet wordt ondersteund door de Webshop Heroes.