Sinds 1 januari van dit jaar is er een verplichting om bij datalekken melding te maken bij de autoriteit persoonsgegevens (voormalig CBP). Het niet melden van dergelijke lekken is strafbaar, ook voor jou als webwinkel is het zaak om op de hoogte te zijn van de regels en eventueel maatregelen te nemen om je beveiliging verder aan te scherpen.
Wanneer is er sprake van een datalek?
Wat is precies een datalek? Er moet allereerst sprake zijn van een beveiligingsincident, denk dan bijvoorbeeld aan het kwijtraken van een USB-stick, diefstal van een laptop of toegang van een hacker tot de webserver.
Dit is echter nog niet automatisch een datalek. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een webwinkel zonder dat dit de bedoeling is.
-
- Toegang tot: Wanneer niet bevoegde mensen toegang krijgen tot gegevens waartoe ze geen toegang moeten hebben.
- Wijziging: Wanneer gegevens gewijzigd worden zonder dat de gebruiker dat wil.
- Vernietiging: Als persoonsgegevens verloren gaan. Bijvoorbeeld door een computercrash of een brand.
Bij een datalek moeten persoonsgegevens ook verloren zijn gegaan of onrechtmatige verwerking van persoonsgegevens moet niet uit te sluiten zijn. Een bekend beveiligingsprobleem in software is bijvoorbeeld geen datalek, zijn er echter aanwijzingen dat er misbruik is gemaakt van zon beveiligingsprobleem, dan is dit (waarschijnlijk) wel een beveiligingslek. Ook het verliezen van een USB stick met klantenlijsten in de trein (zonder encryptie) is een datalek.
Verder moet er sprake zijn van persoonsgegevens, kort door de bocht zijn dit gegevens die terug te leiden zijn tot een persoon/individu. Zo is een bankrekeningnummer van een persoon een persoonsgegeven, maar een bankrekeningnummer van een bedrijf niet. Gestolen gegevens van bedrijven zijn in principe geen persoonsgegevens, gegevens over individuele personen wel.
Wanneer moet ik melding maken bij de autoriteit persoonsgegevens?
Niet elk datalek hoeft gemeld te worden bij de autoriteit persoonsgegevens. Melding is verplicht als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Daarin zitten diverse afwegingen zoals welke gegevens het betreft en op welke schaal. Zo is het lekken van financiële gegevens, creditcard gegevens, wachtwoorden, geloofsovertuiging, etc. een stuk ernstiger dan het lekken van een lijst van publiek beschikbare telefoonnummers. Bekijk de beleidsregels van het CPB voor meer informatie.
Hoe moet ik melding maken?
Melding maken moet zo snel mogelijk na constatering en zo mogelijk niet later dan 72 uur na ontdekking van het datalek. Dit kan via de website van de autoriteit persoonsgegevens.
Krijg ik een boete?
Nee, je krijgt niet automatisch een boete bij elke melding. Wel kan het zo zijn dat de autoriteit persoonsgegevens het datalek dermate ernstig vindt of het idee heeft dat er sprake is van onvoldoende beveiligingsmaatregelen. Dat kan aanleiding zijn voor onderzoek met als mogelijk gevolg wel een boete wanneer je fouten hebt gemaakt of informatie niet goed hebt beschermd.
Wanneer moet ik melding maken aan gedupeerden?
Alleen melding maken aan de autoriteit persoonsgegevens is niet altijd voldoende. Soms is melding aan gedupeerden ook verplicht. Dit is het geval wanneer het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Dit is bijvoorbeeld het geval wanneer het (onversleutelde) wachtwoorden betreft of gevoelige gegevens als gegevens die gebruikt kunnen worden voor identiteitsfraude. Gedupeerden kunnen dan maatregelen nemen om misbruik van deze gegevens te voorkomen.
Software as a service
Steeds vaker wordt er gebruik gemaakt van externe partijen voor de opslag en verwerking van gegevens. Denk aan SAAS partijen voor o.a. webwinkel software. In die gevallen moet je een overeenkomst met die partijen sluiten waarin afspraken worden gemaakt over o.a. datalekken. Jij blijft echter als opdrachtgever verantwoordelijk voor de meldingen, niet de partij waar je een dienst af neemt.
Beveiliging
Voldoende beveiliging is ook voor jou als kleine tot middelgrote webwinkel belangrijk! Binnenkort komen we daarom met een securityscan die dagelijks jouw webwinkel scant op beveiligingsproblemen. NB: de security scan bieden we sinds oktober 2020 voorlopig niet aan.
Meer informatie en verdieping
Dit blog is niet bedoeld om te informeren over alle details van de wetgeving, maar primair om een samenvatting te geven voor webwinkels. We raden daarom aan om de informatie op de website van de autoriteit persoonsgegevens te raadplegen en de primair de beleidsregels goed door te nemen. We snappen dat dit voor veel kleine webwinkels droge kost is, twijfel je of je melding moet doen? Dan raden we je aan om het zekere voor het onzekere te nemen en melding te maken.
Relevante wetteksten
Alle regels met betrekking tot de verwerking van persoonsgegevens zijn terug te vinden in de wet bescherming persoonsgegevens. Ook hier is de definitie van een datalek opgenomen als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens).
Artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Reacties