Datalekken zijn enorm nadelig voor bedrijven en organisaties. Aan de ene kant kan persoonsgevoelige of bedrijfsinformatie in de verkeerde handen vallen. Aan de andere kant kleven er allerlei juridische gevolgen aan. Het is dus verstandig om je bedrijfsvoering op dit gebied juridisch dicht te timmeren, zeker met het oog op de aankomende Algemene Verordening Gegevensbescherming (AVG). Want met welke juridische consequenties krijg je precies te maken in het geval van een datalek?

Advocaat Martin Hemmer van AKD legt uit: “Een van de grootste juridische consequenties is dat je een datalek in veel gevallen moet melden bij de Autoriteit Persoonsgegevens (AP), maar vaak ook aan de mensen die erdoor getroffen zijn.” Afhankelijk van de omstandigheden waarin het datalek is ontstaan kun je als organisatie verantwoordelijk zijn voor de gevolgen. Stel dat een bedrijf nalatig is geweest bij het bewaken van persoonsgegevens waardoor wachtwoorden gestolen zijn die tot betaalgegevens leiden. “Als er hierdoor geld van de rekening is verdwenen dan kun je als organisatie aansprakelijk zijn voor de gevolgen.”

 

Consequenties van meldingen

De Meldplicht Datalekken is al in 2016 ingegaan en verplicht bedrijven en organisaties dus om een melding te maken. Maar naast schadeclaims die organisaties kunnen krijgen als gevolg van het datalek, kan de AP ook flinke boetes opleggen. Bovendien is reputatieschade ook een reëel risico omdat betrokkenen in bepaalde gevallen op de hoogte gesteld moeten worden van de datalekken. Met alle negatieve gevolgen van dien.

De meldplicht heeft mede daardoor tot kritiek geleid. Het nadeel van het melden van een hack kan voor bedrijven groot zijn, terwijl de kans dat de overheid de hackers pakt uitermate klein is. Hemmer kan begrip opbrengen voor die kritiek: “Het gevoel kan ontstaan dat het slachtoffer gestraft wordt terwijl de dader vrijuit gaat.”

Maar het kerndoel van de wet is niet om organisaties te straffen, maar om burgers te waarschuwen dat hun gegevens mogelijk in verkeerde handen zijn gevallen en het beveiligingsniveau binnen bedrijven op te krikken. “We kunnen vaststellen dat de introductie van strengere regelgeving op dit punt veel awareness gecreëerd heeft waardoor bedrijven zich beter zijn gaan wapenen. De meldplicht heeft dus zeker nut.”

Grijze gebieden in de wet

De wetgeving rond het beschermen van persoonsgegevens staat vol met hele open en vage normen, en dit maakt het erg lastig voor goedwillende bedrijven. In de Meldplicht Datalekken staat bijvoorbeeld dat “de verantwoordelijke de betrokkenen onverwijld in kennis moet stellen van een inbreuk als die waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer.”

Hemmer: “Als je tien mensen laat discussiëren over wat die zin betekent dan zullen er tien verschillende antwoorden komen. En als er dan tegelijkertijd een grote boetedreiging is, zullen bedrijven voor de zekerheid maar alles gaan melden.”

De interpretatie van de regelgeving zou dus tot overcompliance en onnodige bureaucratie kunnen leiden waardoor het doel voorbij geschoten wordt. Vooral wanneer betrokkenen op de hoogte worden gesteld van lekken waarbij er geen gevoelige data verloren is geraakt, en waarvoor ze geen maatregelen hoeven te nemen. “Wanneer mensen veel meldingen krijgen van datalekken die in feite geen nadelige gevolgen voor ze hebben dan halen ze er op een gegeven moment hun schouders over op. Dat kan gevaarlijk zijn als er vervolgens een melding komt waar ze wèl wat mee kunnen doen.”

Specialiteiten van AKD

Het omgaan met alle juridische aspecten van de Meldplicht Datalekken en de AVG is dus een ingewikkeld vraagstuk waarbij aansprakelijkheid een steeds grotere rol speelt. Het risico op aansprakelijkheid hangt amen met de stappen die je als bedrijf onderneemt om de kans op datalekken te verkleinen. En als je geen systematische, technische én organisatorische beveiligingsmaatregelen neemt, voldoe je volgens Hemmer per definitie niet aan de AVG.

AKD is gespecialiseerd in de bescherming van persoonsgegevens, en biedt privacy checks waarmee bedrijven kunnen zien waar ze staan in de voorbereiding op de AVG. “Wij kunnen adviseren over privacybeleid waardoor bedrijven AVG-compliant zijn. Daarnaast bereiden we bedrijven optimaal voor op de juridische consequenties van een datalek.”

Voor alle organisaties die willen weten hoe ze ervoor staan met betrekking tot de nieuwe wetgeving heeft AKD een Privacy check ontwikkeld. De check bestaat uit een eenvoudige vragenlijst en ondersteuning door onze advocaten. Voor meer informatie over de AKD Privacy Check, klik hier.