SlideShare ist ein Scribd-Unternehmen logo

interview meldplicht datalekken

H
Huub de Jong
1 von 4
Downloaden Sie, um offline zu lesen
Madison Gurkha januari 20164 het interview Deze keer een interview met Huub de Jong, advocaat en partner bij Louwers IP|Technology Advocaten over de meldplicht datalekken. Klaar voor “Uiteindelijk zal het echter aan de rechter zijn om te bepalen of een organisatie de wet zorgvuldig heeft toegepast op dit punt”
Madison Gurkha januari 2016 5 het interview een datalek? Sinds 1 januari 2016 bent u wettelijk verplicht datalekken te melden. Weet u wat u moet doen? Wij vroegen Huub de Jong, advocaat bij Louwers IP|Technology Advocaten om de nodige uitleg en praktische tips. Wat houdt de meldplicht datalekken nu precies in? Per 1 januari jl. zijn organisaties (zowel bedrijven als overheden) verplicht bepaalde datalekken te melden. Het gaat dan om datalekken waarbij persoonsgegevens zijn betrokken en waarbij degene die verantwoor- delijk is voor de verwerking in Nederland is gevestigd. Een dergelijk datalek moet gemeld worden aan de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsge- gevens) en in bepaalde gevallen ook aan de gedupeerde (betrokkene). Tegelijkertijd met de invoering van de meldplicht datalekken maakt de nieuwe wet het mogelijk dat de Autoriteit Persoonsgegevens hoge boetes op kan leggen. Deze boetes kunnen niet alleen opgelegd worden bij het niet melden van een datalek, maar ook bij andere schendingen van de Wet bescherming persoonsgegevens (Wbp) zoals de beveiligingsplicht. Welke incidenten dienen er gemeld te worden en bij wie? De organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens moet de Autoriteit Persoonsgegevens in ken- nis stellen van inbreuken op de beveiliging die ernstig nadelige gevolgen hebben voor de bescherming van persoonsgegevens of inbreuken die tot een aanzienlijke kans hierop leiden. Ook de betrokkene moet op de hoogte gebracht worden, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. De praktische toepassing van deze wettelijke criteria zal nog niet altijd eenvoudig zijn. Er wordt geschreven: “De inbreuk moet bovendien ‘ernstig’ zijn – en wat ernstig is, is een eigen afweging” Hoe maak je als organisatie deze afweging? De wet heeft het niet over ‘ernstig’ maar kijkt vooral naar de gevolgen, zoals ik hierboven beschrijf. Dat maakt het nog niet eenvoudig om te bepalen waar de grens ligt tussen wat wel of niet gemeld dient te worden. Uiteinde- lijk zal ieder bedrijf daarin zijn eigen afweging moeten maken eventueel in samenspraak met zijn adviseurs. De Autoriteit Persoons- gegevens heeft beleidsregels gepubliceerd waarin ze aangeeft hoe de toezichthouder meent dat organisaties deze afweging moe- ten maken. Uiteindelijk zal het echter aan de rechter zijn om te bepalen of een organisatie de wet zorgvuldig heeft toegepast op dit punt. Biedt de wettekst wel aanknopingspunten hiervoor? Ja op bepaalde punten wel. Indien er pas- sende technische beschermingsmaatregelen zijn getroffen hoeft een datalek niet gemeld te worden aan de betrokkene (wel aan de toezichthouder). Je kunt daarbij bijvoorbeeld denken aan het verlies van een usb-stick die degelijk met encryptie is beveiligd. Er moet dan wel een kopie beschikbaar zijn, want het verlies van persoonsgegevens kan ook een datalek opleveren. Om die reden dient het in beginsel bijvoorbeeld ook gemeld te worden indien een systeembeheerder per ongeluk een database met persoonsgegevens verwij- dert waarvan geen kopie voorhanden is. Een ander opvallend punt is de uitzondering voor financiële ondernemingen. Deze orga- nisaties hoeven op basis van deze wet een datalek ook niet te melden aan de betrok- kene. Een algemene meldplicht zou in de praktijk volgens de wetgever voor ongewens- te situaties kunnen zorgen. Denk aan een bankrun. Financiële ondernemingen kunnen op basis van specifiek voor hen geldende regels overigens alsnog gehouden zijn een datalek te melden. Hoe groot is de kans dat er daadwerkelijk boetes uitgedeeld gaan worden? Dat zal de praktijk moeten uitwijzen. Aangezien de Autoriteit Persoonsgegevens een relatief kleine toezichthouder is, zullen er door de toezichthouder keuzes gemaakt moeten worden. Organisaties die veel en/of
6 Madison Gurkha augustus 2015 het interview gevoelige gegevens verwerken zullen eerder het risico lopen beboet te worden. Hetzelfde geldt voor organisaties waarover geklaagd wordt bij de toezichthouder of organisaties die om een andere reden op bijzondere aandacht van de toezichthouder kunnen re- kenen. Een goede beveiliging blijft uiteraard de beste remedie om de kans op boetes te verkleinen. Wat valt er contractueel te regelen met afnemers en leveranciers? Met afnemers en leveranciers zullen af- spraken gemaakt dienen te worden over de uitvoering van de meldplicht. Dit is niet alleen verstandig, maar vaak ook wettelijk verplicht. De exacte invulling van deze afspraken is afhankelijk van de eigen capaciteit, beleid en de verdere contractuele relatie. Feitelijk vormen deze afspraken een uitbreiding op de bestaande verplichting om goede afspraken te maken over de beveiliging van persoons- gegevens met afnemers en leveranciers. Is eventuele schade bijvoorbeeld te verha- len of verzekerbaar? De markt die specifiek deze risico’s afdekt is nog volop in ontwikkeling. De afgelopen tijd hebben diverse verzekeraars een cybercrime- verzekering op de markt gebracht. Hoewel de polisvoorwaarden per verzekering uiteenlo- pen wordt veel schade die een organisatie kan oplopen door een dergelijke verzekering gedekt. Het is zelfs niet ongebruikelijk dat de eventuele boetes die men krijgt vanwege schending van de meldplicht door de verze- keraar vergoed worden. Welke consequenties heeft deze meld- plicht concreet voor organisaties? Voorheen hadden bedrijven meer ruimte om te bepalen of ze een datalek wilde melden aan de gedupeerden en zo ja, op welke manier. Deze ruimte is nu verregaand beperkt door de nieuwe wet, waarbij meestal ook de toezichthouder (Autoriteit Persoonsgege- vens) geïnformeerd moet worden. Daarnaast kon de toezichthouder in het verleden geen boete opleggen wanneer een datalek niet werd gemeld. Per 1 januari jl. is zowel het niet melden van een datalek of het niet op orde hebben van de beveiliging van per- soonsgegevens als andere schendingen van de Wbp fors gesanctioneerd met een boete tot EUR 810.000 en in uitzonderlijke situaties zelfs 10 procent van de netto-omzet. Hoe kunnen organisaties zich het beste voorbereiden? Een datalek gaat vaak gepaard met onrust, terwijl een gedegen en tegelijk voortvarende aanpak op zo’n moment noodzakelijk is. Wij adviseren organisaties dan ook een op maat gemaakt draaiboek klaar te hebben liggen. Door een draaiboek weet iedere medewer- ker die betrokken moet zijn bij het managen van het lek en de gevolgen, wat er wanneer van hem of haar verwacht wordt en welke afwegingen er gemaakt moeten worden. Ook is het nodig om de eerder genoemde contracten na te lopen. Verder kan het zinvol zijn te oefenen hoe een organisatie reageert in het geval van een incident. Cyber security experts zeggen vaak dat het meer de vraag is wanneer een organisatie gehackt wordt dan of een organisatie gehackt wordt. Wat vindt Louwers Advocaten van de meldplicht? Dat zal ervan afhangen hoe de meldplicht in de praktijk vorm gaat krijgen, welke effecten deze teweegbrengt en welke opstelling de toezichthouder daarbij kiest. Op zichzelf is er niets mis met transparantie op dit punt en kan dit bijdragen aan het beoogde vertrouwen in de zorgvuldige verwerking van persoonsgegevens. Zeker wanneer organisaties besluiten om extra aandacht te schenken aan de beveiliging van de aan hen toevertrouwde persoonsgegevens om een verplichte melding van een datalek te voorko- men. Mocht het effect voor de praktijk echter zijn dat we overspoeld gaan worden met pro forma meldingen dan zou het effect weleens nihil kunnen zijn. In dat geval is het alleen een extra administratieve last voor bedrijven. De praktijk zal nog flink moeten worste- len met de praktische implicaties van de meldplicht. De Autoriteit Persoonsgegevens noemt als voorbeeld dat een kwetsbaarheid in een webapplicatie als gevolg waarvan medische gegevens kunnen worden ingezien gemeld dient te worden aan de toezichthou- der. Ook hanteren ze als vuistregel dat het lekken van gevoelige persoonsgegevens aan de betrokkene gemeld dient te worden. Bete- kent dit nu tezamen dat iedere SQL-injectie kwetsbaarheid die door een ethische hacker gevonden wordt in een portal waar gevoe- lige persoonsgegevens worden verwerkt aan de betrokkene gemeld dient te worden volgens de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat hiervan geen misbruik is gemaakt? Dat zou nogal wat consequenties hebben voor de praktijk. We zullen de komende tijd ongetwijfeld nog interessante vragen krijgen van cliënten. “Wij adviseren organisaties om een op maat gemaakt draaiboek klaar te hebben liggen” CV Huub de Jong is als advocaat gespecialiseerd in technologie- recht. Hij heeft ruim vijftien jaar ervaring met het adviseren over juridische aspecten van com- plexe technologievraagstukken, het opstellen en beoordelen van (inter)nationale contracten, het oplossen van geschillen en zo nodig het voeren van proce- dures. Huub zet zijn juridische kennis en gevoel voor techno- logie graag in voor de strategi- sche belangen van cliënten. Zijn aandachtsgebieden zijn IT- en internetrecht, security, privacy, auteursrecht en telecomrecht. T +31 70 2400 836 M +31 6 1099 2888 E dejong@louwersadvocaten.nl W www.louwersadvocaten.nl
Madison Gurkha januari 2016 7 Het interview Het onderstaande schema geeft de vragen weer die u moet beantwoorden om vast te stellen of u een specifiek datalek moet melden aan de betrokkenen. Iedere vraag uit het schema correspondeert met een paragraaf uit het document “Beleidsregels meldplicht datalekken voor toepassing van artikel 34a van de Wbp” dat in december 2015 door de Autoriteit Persoonsgegevens is gepubliceerd. Deze en andere publicaties over de beveiliging van persoonsgegevens en over de meldplicht datalekken vindt u op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl. De verplichting uit de Wbp om de betrokkene te informeren is niet van toepassing. Als u de betrokkenen informeert, dan doet u dat op grond van uw zorg- plicht als financiële onderneming. U kunt de kennisgeving aan de betrokkene achterwege laten. De Autoriteit Persoonsgegevens kan, indien deze van oordeel is dat de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van u verlangen dat u alsnog een kennisgeving doet. U moet het datalek melden aan de Autoriteit Persoons- gegevens op grond van de meldplicht datalekken uit de Wbp. Ja Nee Nee Nee Ja Nee Ja Ja Nee Ja Ben ik een financiële onderneming als bedoeld in de Wet op het financieel toezicht? § 7.1 Biedt de cryptografie die ik heb toegepast voldoende be- scherming om de melding aan de betrokkene achterwege te kunnen laten? § 7.2 Bieden de andere technische beschermingsmaatregelen die ik heb genomen voldoende bescherming om de mel- ding aan de betrokkene achterwege te kunnen laten? § 7.3 Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? § 7.4 Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? § 7.5 U moet het datalek melden aan de betrokkene. Schematisch overzicht meldplicht datalekken bron: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf

Empfohlen

De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENHet beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENJeroen Oversteegen
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceAKD
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 

Empfohlen

De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
 
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENHet beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGEN
Het beste van 2017 - AMWEB - NATIONALE HYPOTHEEKBOND - JEROEN OVERSTEEGENJeroen Oversteegen
 
20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectoren20170608 privacy compliance unizo sectoren
20170608 privacy compliance unizo sectorenBart Van Den Brande
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
De impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareDe impact van GDPR op VZW's en verenigingen - 20170619 socialware
De impact van GDPR op VZW's en verenigingen - 20170619 socialwareBart Van Den Brande
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceAKD
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Matthias Dobbelaere-Welvaert
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Bart Van Den Brande
 
20190326 Safeshops eLegal Day 2019
20190326 Safeshops eLegal Day 201920190326 Safeshops eLegal Day 2019
20190326 Safeshops eLegal Day 2019Bart Van Den Brande
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...Bart Van Den Brande
 
Schrems II, wat nu?
Schrems II, wat nu?Schrems II, wat nu?
Schrems II, wat nu?Bart Van Den Brande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield stonefield
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy Redactie ZiPconomy
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conferenceBart Van Den Brande
 
Samenspraak jaargang 3 editie 2 2011
Samenspraak jaargang 3 editie 2 2011Samenspraak jaargang 3 editie 2 2011
Samenspraak jaargang 3 editie 2 2011Dries Schuttinga
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijkJorgen Holzmann
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
 
Avg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtAvg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtJohan-Peter Kaar
 
Hans Ludo van Mierlo: Banking on Trust
Hans Ludo van Mierlo: Banking on TrustHans Ludo van Mierlo: Banking on Trust
Hans Ludo van Mierlo: Banking on TrustWim Assink
 
Selfservice BI in de Praktijk
Selfservice BI in de PraktijkSelfservice BI in de Praktijk
Selfservice BI in de PraktijkFreek Kamst
 
Verbinden met informatie Stadsdelen - G4 november 2014
Verbinden met informatie Stadsdelen - G4 november 2014Verbinden met informatie Stadsdelen - G4 november 2014
Verbinden met informatie Stadsdelen - G4 november 2014Eelke Jager
 
ACM E-travel summit 2014
ACM E-travel summit 2014ACM E-travel summit 2014
ACM E-travel summit 2014TradeTracker.com
 

Weitere ähnliche Inhalte

Was ist angesagt?

Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Matthias Dobbelaere-Welvaert
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieBart Van Den Brande
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketingBart Van Den Brande
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalBart Van Den Brande
 
20190326 Safeshops eLegal Day 2019
20190326 Safeshops eLegal Day 201920190326 Safeshops eLegal Day 2019
20190326 Safeshops eLegal Day 2019Bart Van Den Brande
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...Bart Van Den Brande
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenBart Van Den Brande
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield stonefield
 
Samenspraak jaargang 3 editie 2 2011
Samenspraak jaargang 3 editie 2 2011Samenspraak jaargang 3 editie 2 2011
Samenspraak jaargang 3 editie 2 2011Dries Schuttinga
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websitesBart Van Den Brande
 
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Bart Van Den Brande
 
Avg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtAvg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtJohan-Peter Kaar
 

Was ist angesagt? (18)

Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
Flanders DC, E-Commerce Lab: juridische aspecten van webshops.
 
De impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrieDe impact van GDPR op de farmaceutische industrie
De impact van GDPR op de farmaceutische industrie
 
20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing20181209 gastles HoGent digital marketing
20181209 gastles HoGent digital marketing
 
Infotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius LegalInfotopics GDPR seminarie by Sirius Legal
Infotopics GDPR seminarie by Sirius Legal
 
Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017Gastles PXL Hogeschool 2017
Gastles PXL Hogeschool 2017
 
20190326 Safeshops eLegal Day 2019
20190326 Safeshops eLegal Day 201920190326 Safeshops eLegal Day 2019
20190326 Safeshops eLegal Day 2019
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
 
Schrems II, wat nu?
Schrems II, wat nu?Schrems II, wat nu?
Schrems II, wat nu?
 
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingenGDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
GDPR Compliance voor zelfstandigen, KMO's en grote ondernemingen
 
AVG - Stonefield
AVG - Stonefield AVG - Stonefield
AVG - Stonefield
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
20171005 e commerce conference
20171005 e commerce conference20171005 e commerce conference
20171005 e commerce conference
 
Samenspraak jaargang 3 editie 2 2011
Samenspraak jaargang 3 editie 2 2011Samenspraak jaargang 3 editie 2 2011
Samenspraak jaargang 3 editie 2 2011
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijk
 
20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites20211116 gastles UCLL Hogeschool: Legal compliant websites
20211116 gastles UCLL Hogeschool: Legal compliant websites
 
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
Juridische aspecten van digital marketing - gastles HoGent 28 april 2015
 
Avg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzichtAvg in de recruitmentbranche. een compleet overzicht
Avg in de recruitmentbranche. een compleet overzicht
 

Andere mochten auch

Hans Ludo van Mierlo: Banking on Trust
Hans Ludo van Mierlo: Banking on TrustHans Ludo van Mierlo: Banking on Trust
Hans Ludo van Mierlo: Banking on TrustWim Assink
 
Selfservice BI in de Praktijk
Selfservice BI in de PraktijkSelfservice BI in de Praktijk
Selfservice BI in de PraktijkFreek Kamst
 
Verbinden met informatie Stadsdelen - G4 november 2014
Verbinden met informatie Stadsdelen - G4 november 2014Verbinden met informatie Stadsdelen - G4 november 2014
Verbinden met informatie Stadsdelen - G4 november 2014Eelke Jager
 
DDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - Nectar
DDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - NectarDDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - Nectar
DDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - NectarDDMA
 
Presentatie Verslag Fondsenwerving 13 December 2010 Samengevoegd
Presentatie Verslag Fondsenwerving 13 December 2010 SamengevoegdPresentatie Verslag Fondsenwerving 13 December 2010 Samengevoegd
Presentatie Verslag Fondsenwerving 13 December 2010 SamengevoegdCBF_slideshare
 
Herramientas de colaboración digital issuu
Herramientas de colaboración digital issuuHerramientas de colaboración digital issuu
Herramientas de colaboración digital issuuaguadalupe
 
Freelunch verzorgd door Buzzcapture
Freelunch verzorgd door BuzzcaptureFreelunch verzorgd door Buzzcapture
Freelunch verzorgd door BuzzcaptureBuzzcapture
 
I love Google Analytics data (GAUC / Tribal)
I love Google Analytics data (GAUC / Tribal)I love Google Analytics data (GAUC / Tribal)
I love Google Analytics data (GAUC / Tribal)Webanalisten .nl
 
Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)
Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)
Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)Marketing Lynx
 
Registreren en publiceren volgens CEST richtlijnen
Registreren en publiceren volgens CEST richtlijnenRegistreren en publiceren volgens CEST richtlijnen
Registreren en publiceren volgens CEST richtlijnenPACKED vzw
 
Gastcollege Hogeschool Arnhem en Nijmegen
Gastcollege Hogeschool Arnhem en NijmegenGastcollege Hogeschool Arnhem en Nijmegen
Gastcollege Hogeschool Arnhem en NijmegenBuzzcapture
 
Het gebruik van social media big data als basis voor marketing insights - Dig...
Het gebruik van social media big data als basis voor marketing insights - Dig...Het gebruik van social media big data als basis voor marketing insights - Dig...
Het gebruik van social media big data als basis voor marketing insights - Dig...Ayman van Bregt
 
Woonstad Rotterdam - Workshop online marketing strategie
Woonstad Rotterdam - Workshop online marketing strategieWoonstad Rotterdam - Workshop online marketing strategie
Woonstad Rotterdam - Workshop online marketing strategieAyman van Bregt
 
Big Data: visie vanuit webanalyse voor Nyenrode en M! symposium
Big Data: visie vanuit webanalyse voor Nyenrode en M! symposiumBig Data: visie vanuit webanalyse voor Nyenrode en M! symposium
Big Data: visie vanuit webanalyse voor Nyenrode en M! symposiumOnline Dialogue
 
Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!
Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!
Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!BigDataExpo
 
BIME Analytics + Instagram: Take the pulse of your Instagram presence
BIME Analytics + Instagram: Take the pulse of your Instagram presenceBIME Analytics + Instagram: Take the pulse of your Instagram presence
BIME Analytics + Instagram: Take the pulse of your Instagram presenceBIME Analytics
 
EURIB - Masterprogramma - Digitale waardecreatie - September 2016
EURIB - Masterprogramma - Digitale waardecreatie - September 2016 EURIB - Masterprogramma - Digitale waardecreatie - September 2016
EURIB - Masterprogramma - Digitale waardecreatie - September 2016Ayman van Bregt
 
EURIB Korte opleiding: Online marketing - Maart 2016
EURIB Korte opleiding: Online marketing - Maart 2016EURIB Korte opleiding: Online marketing - Maart 2016
EURIB Korte opleiding: Online marketing - Maart 2016Ayman van Bregt
 

Andere mochten auch (20)

Hans Ludo van Mierlo: Banking on Trust
Hans Ludo van Mierlo: Banking on TrustHans Ludo van Mierlo: Banking on Trust
Hans Ludo van Mierlo: Banking on Trust
 
Selfservice BI in de Praktijk
Selfservice BI in de PraktijkSelfservice BI in de Praktijk
Selfservice BI in de Praktijk
 
Verbinden met informatie Stadsdelen - G4 november 2014
Verbinden met informatie Stadsdelen - G4 november 2014Verbinden met informatie Stadsdelen - G4 november 2014
Verbinden met informatie Stadsdelen - G4 november 2014
 
ACM E-travel summit 2014
ACM E-travel summit 2014ACM E-travel summit 2014
ACM E-travel summit 2014
 
EmployAble
EmployAbleEmployAble
EmployAble
 
DDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - Nectar
DDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - NectarDDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - Nectar
DDMA Dag van de Datakwaliteit 2010 - Jan-Pieter Lips - Nectar
 
Presentatie Verslag Fondsenwerving 13 December 2010 Samengevoegd
Presentatie Verslag Fondsenwerving 13 December 2010 SamengevoegdPresentatie Verslag Fondsenwerving 13 December 2010 Samengevoegd
Presentatie Verslag Fondsenwerving 13 December 2010 Samengevoegd
 
Herramientas de colaboración digital issuu
Herramientas de colaboración digital issuuHerramientas de colaboración digital issuu
Herramientas de colaboración digital issuu
 
Freelunch verzorgd door Buzzcapture
Freelunch verzorgd door BuzzcaptureFreelunch verzorgd door Buzzcapture
Freelunch verzorgd door Buzzcapture
 
I love Google Analytics data (GAUC / Tribal)
I love Google Analytics data (GAUC / Tribal)I love Google Analytics data (GAUC / Tribal)
I love Google Analytics data (GAUC / Tribal)
 
Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)
Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)
Google presentatie (Fontys) | Blue Mango Interactive (Ektor Tsolodimos)
 
Registreren en publiceren volgens CEST richtlijnen
Registreren en publiceren volgens CEST richtlijnenRegistreren en publiceren volgens CEST richtlijnen
Registreren en publiceren volgens CEST richtlijnen
 
Gastcollege Hogeschool Arnhem en Nijmegen
Gastcollege Hogeschool Arnhem en NijmegenGastcollege Hogeschool Arnhem en Nijmegen
Gastcollege Hogeschool Arnhem en Nijmegen
 
Het gebruik van social media big data als basis voor marketing insights - Dig...
Het gebruik van social media big data als basis voor marketing insights - Dig...Het gebruik van social media big data als basis voor marketing insights - Dig...
Het gebruik van social media big data als basis voor marketing insights - Dig...
 
Woonstad Rotterdam - Workshop online marketing strategie
Woonstad Rotterdam - Workshop online marketing strategieWoonstad Rotterdam - Workshop online marketing strategie
Woonstad Rotterdam - Workshop online marketing strategie
 
Big Data: visie vanuit webanalyse voor Nyenrode en M! symposium
Big Data: visie vanuit webanalyse voor Nyenrode en M! symposiumBig Data: visie vanuit webanalyse voor Nyenrode en M! symposium
Big Data: visie vanuit webanalyse voor Nyenrode en M! symposium
 
Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!
Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!
Big Data Expo 2015 - Infotopics Zien, Begrijpen, Doen!
 
BIME Analytics + Instagram: Take the pulse of your Instagram presence
BIME Analytics + Instagram: Take the pulse of your Instagram presenceBIME Analytics + Instagram: Take the pulse of your Instagram presence
BIME Analytics + Instagram: Take the pulse of your Instagram presence
 
EURIB - Masterprogramma - Digitale waardecreatie - September 2016
EURIB - Masterprogramma - Digitale waardecreatie - September 2016 EURIB - Masterprogramma - Digitale waardecreatie - September 2016
EURIB - Masterprogramma - Digitale waardecreatie - September 2016
 
EURIB Korte opleiding: Online marketing - Maart 2016
EURIB Korte opleiding: Online marketing - Maart 2016EURIB Korte opleiding: Online marketing - Maart 2016
EURIB Korte opleiding: Online marketing - Maart 2016
 

Ähnlich wie interview meldplicht datalekken

De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekkenSebyde
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HRSebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidSebyde
 
Praktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPraktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPaul van Osch
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Stefano Verkooy
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Anna Willems
 
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.Martijn van Ingen
 
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?Thei Geurts
 
Brochure Stibbe Compliance en Sancties Groep - Nederlandse versie
Brochure Stibbe Compliance en Sancties Groep - Nederlandse versieBrochure Stibbe Compliance en Sancties Groep - Nederlandse versie
Brochure Stibbe Compliance en Sancties Groep - Nederlandse versieRut Wingens
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Bart Van Den Brande
 
Veiligheidsregels Less or More
Veiligheidsregels Less or MoreVeiligheidsregels Less or More
Veiligheidsregels Less or MoreBellens Tom
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Media Perspectives
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgBart Van Den Brande
 

Ähnlich wie interview meldplicht datalekken (20)

De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Whitepaper impact feb 2017
Whitepaper impact feb 2017Whitepaper impact feb 2017
Whitepaper impact feb 2017
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
 
Praktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese PrivacyverordeningPraktijkcursus WBP en Masterclass Europese Privacyverordening
Praktijkcursus WBP en Masterclass Europese Privacyverordening
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.Avg in de recruitmentbranche. Een compleet overzicht.
Avg in de recruitmentbranche. Een compleet overzicht.
 
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
AVG/GDPR in de recruitmentbranche. Een compleet overzicht.
 
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?
 
Brochure Stibbe Compliance en Sancties Groep - Nederlandse versie
Brochure Stibbe Compliance en Sancties Groep - Nederlandse versieBrochure Stibbe Compliance en Sancties Groep - Nederlandse versie
Brochure Stibbe Compliance en Sancties Groep - Nederlandse versie
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
 
Veiligheidsregels Less or More
Veiligheidsregels Less or MoreVeiligheidsregels Less or More
Veiligheidsregels Less or More
 
Tempus Novum's White Paper VOG
Tempus Novum's White Paper VOGTempus Novum's White Paper VOG
Tempus Novum's White Paper VOG
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
 
Cyber risks-informatie verbond
Cyber risks-informatie verbondCyber risks-informatie verbond
Cyber risks-informatie verbond
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburgGDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
GDPR in de innovatiesector - Sirius Legal bij Innovatiecentrum limburg
 

interview meldplicht datalekken

  • 1. Madison Gurkha januari 20164 het interview Deze keer een interview met Huub de Jong, advocaat en partner bij Louwers IP|Technology Advocaten over de meldplicht datalekken. Klaar voor “Uiteindelijk zal het echter aan de rechter zijn om te bepalen of een organisatie de wet zorgvuldig heeft toegepast op dit punt”
  • 2. Madison Gurkha januari 2016 5 het interview een datalek? Sinds 1 januari 2016 bent u wettelijk verplicht datalekken te melden. Weet u wat u moet doen? Wij vroegen Huub de Jong, advocaat bij Louwers IP|Technology Advocaten om de nodige uitleg en praktische tips. Wat houdt de meldplicht datalekken nu precies in? Per 1 januari jl. zijn organisaties (zowel bedrijven als overheden) verplicht bepaalde datalekken te melden. Het gaat dan om datalekken waarbij persoonsgegevens zijn betrokken en waarbij degene die verantwoor- delijk is voor de verwerking in Nederland is gevestigd. Een dergelijk datalek moet gemeld worden aan de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsge- gevens) en in bepaalde gevallen ook aan de gedupeerde (betrokkene). Tegelijkertijd met de invoering van de meldplicht datalekken maakt de nieuwe wet het mogelijk dat de Autoriteit Persoonsgegevens hoge boetes op kan leggen. Deze boetes kunnen niet alleen opgelegd worden bij het niet melden van een datalek, maar ook bij andere schendingen van de Wet bescherming persoonsgegevens (Wbp) zoals de beveiligingsplicht. Welke incidenten dienen er gemeld te worden en bij wie? De organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens moet de Autoriteit Persoonsgegevens in ken- nis stellen van inbreuken op de beveiliging die ernstig nadelige gevolgen hebben voor de bescherming van persoonsgegevens of inbreuken die tot een aanzienlijke kans hierop leiden. Ook de betrokkene moet op de hoogte gebracht worden, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. De praktische toepassing van deze wettelijke criteria zal nog niet altijd eenvoudig zijn. Er wordt geschreven: “De inbreuk moet bovendien ‘ernstig’ zijn – en wat ernstig is, is een eigen afweging” Hoe maak je als organisatie deze afweging? De wet heeft het niet over ‘ernstig’ maar kijkt vooral naar de gevolgen, zoals ik hierboven beschrijf. Dat maakt het nog niet eenvoudig om te bepalen waar de grens ligt tussen wat wel of niet gemeld dient te worden. Uiteinde- lijk zal ieder bedrijf daarin zijn eigen afweging moeten maken eventueel in samenspraak met zijn adviseurs. De Autoriteit Persoons- gegevens heeft beleidsregels gepubliceerd waarin ze aangeeft hoe de toezichthouder meent dat organisaties deze afweging moe- ten maken. Uiteindelijk zal het echter aan de rechter zijn om te bepalen of een organisatie de wet zorgvuldig heeft toegepast op dit punt. Biedt de wettekst wel aanknopingspunten hiervoor? Ja op bepaalde punten wel. Indien er pas- sende technische beschermingsmaatregelen zijn getroffen hoeft een datalek niet gemeld te worden aan de betrokkene (wel aan de toezichthouder). Je kunt daarbij bijvoorbeeld denken aan het verlies van een usb-stick die degelijk met encryptie is beveiligd. Er moet dan wel een kopie beschikbaar zijn, want het verlies van persoonsgegevens kan ook een datalek opleveren. Om die reden dient het in beginsel bijvoorbeeld ook gemeld te worden indien een systeembeheerder per ongeluk een database met persoonsgegevens verwij- dert waarvan geen kopie voorhanden is. Een ander opvallend punt is de uitzondering voor financiële ondernemingen. Deze orga- nisaties hoeven op basis van deze wet een datalek ook niet te melden aan de betrok- kene. Een algemene meldplicht zou in de praktijk volgens de wetgever voor ongewens- te situaties kunnen zorgen. Denk aan een bankrun. Financiële ondernemingen kunnen op basis van specifiek voor hen geldende regels overigens alsnog gehouden zijn een datalek te melden. Hoe groot is de kans dat er daadwerkelijk boetes uitgedeeld gaan worden? Dat zal de praktijk moeten uitwijzen. Aangezien de Autoriteit Persoonsgegevens een relatief kleine toezichthouder is, zullen er door de toezichthouder keuzes gemaakt moeten worden. Organisaties die veel en/of
  • 3. 6 Madison Gurkha augustus 2015 het interview gevoelige gegevens verwerken zullen eerder het risico lopen beboet te worden. Hetzelfde geldt voor organisaties waarover geklaagd wordt bij de toezichthouder of organisaties die om een andere reden op bijzondere aandacht van de toezichthouder kunnen re- kenen. Een goede beveiliging blijft uiteraard de beste remedie om de kans op boetes te verkleinen. Wat valt er contractueel te regelen met afnemers en leveranciers? Met afnemers en leveranciers zullen af- spraken gemaakt dienen te worden over de uitvoering van de meldplicht. Dit is niet alleen verstandig, maar vaak ook wettelijk verplicht. De exacte invulling van deze afspraken is afhankelijk van de eigen capaciteit, beleid en de verdere contractuele relatie. Feitelijk vormen deze afspraken een uitbreiding op de bestaande verplichting om goede afspraken te maken over de beveiliging van persoons- gegevens met afnemers en leveranciers. Is eventuele schade bijvoorbeeld te verha- len of verzekerbaar? De markt die specifiek deze risico’s afdekt is nog volop in ontwikkeling. De afgelopen tijd hebben diverse verzekeraars een cybercrime- verzekering op de markt gebracht. Hoewel de polisvoorwaarden per verzekering uiteenlo- pen wordt veel schade die een organisatie kan oplopen door een dergelijke verzekering gedekt. Het is zelfs niet ongebruikelijk dat de eventuele boetes die men krijgt vanwege schending van de meldplicht door de verze- keraar vergoed worden. Welke consequenties heeft deze meld- plicht concreet voor organisaties? Voorheen hadden bedrijven meer ruimte om te bepalen of ze een datalek wilde melden aan de gedupeerden en zo ja, op welke manier. Deze ruimte is nu verregaand beperkt door de nieuwe wet, waarbij meestal ook de toezichthouder (Autoriteit Persoonsgege- vens) geïnformeerd moet worden. Daarnaast kon de toezichthouder in het verleden geen boete opleggen wanneer een datalek niet werd gemeld. Per 1 januari jl. is zowel het niet melden van een datalek of het niet op orde hebben van de beveiliging van per- soonsgegevens als andere schendingen van de Wbp fors gesanctioneerd met een boete tot EUR 810.000 en in uitzonderlijke situaties zelfs 10 procent van de netto-omzet. Hoe kunnen organisaties zich het beste voorbereiden? Een datalek gaat vaak gepaard met onrust, terwijl een gedegen en tegelijk voortvarende aanpak op zo’n moment noodzakelijk is. Wij adviseren organisaties dan ook een op maat gemaakt draaiboek klaar te hebben liggen. Door een draaiboek weet iedere medewer- ker die betrokken moet zijn bij het managen van het lek en de gevolgen, wat er wanneer van hem of haar verwacht wordt en welke afwegingen er gemaakt moeten worden. Ook is het nodig om de eerder genoemde contracten na te lopen. Verder kan het zinvol zijn te oefenen hoe een organisatie reageert in het geval van een incident. Cyber security experts zeggen vaak dat het meer de vraag is wanneer een organisatie gehackt wordt dan of een organisatie gehackt wordt. Wat vindt Louwers Advocaten van de meldplicht? Dat zal ervan afhangen hoe de meldplicht in de praktijk vorm gaat krijgen, welke effecten deze teweegbrengt en welke opstelling de toezichthouder daarbij kiest. Op zichzelf is er niets mis met transparantie op dit punt en kan dit bijdragen aan het beoogde vertrouwen in de zorgvuldige verwerking van persoonsgegevens. Zeker wanneer organisaties besluiten om extra aandacht te schenken aan de beveiliging van de aan hen toevertrouwde persoonsgegevens om een verplichte melding van een datalek te voorko- men. Mocht het effect voor de praktijk echter zijn dat we overspoeld gaan worden met pro forma meldingen dan zou het effect weleens nihil kunnen zijn. In dat geval is het alleen een extra administratieve last voor bedrijven. De praktijk zal nog flink moeten worste- len met de praktische implicaties van de meldplicht. De Autoriteit Persoonsgegevens noemt als voorbeeld dat een kwetsbaarheid in een webapplicatie als gevolg waarvan medische gegevens kunnen worden ingezien gemeld dient te worden aan de toezichthou- der. Ook hanteren ze als vuistregel dat het lekken van gevoelige persoonsgegevens aan de betrokkene gemeld dient te worden. Bete- kent dit nu tezamen dat iedere SQL-injectie kwetsbaarheid die door een ethische hacker gevonden wordt in een portal waar gevoe- lige persoonsgegevens worden verwerkt aan de betrokkene gemeld dient te worden volgens de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat hiervan geen misbruik is gemaakt? Dat zou nogal wat consequenties hebben voor de praktijk. We zullen de komende tijd ongetwijfeld nog interessante vragen krijgen van cliënten. “Wij adviseren organisaties om een op maat gemaakt draaiboek klaar te hebben liggen” CV Huub de Jong is als advocaat gespecialiseerd in technologie- recht. Hij heeft ruim vijftien jaar ervaring met het adviseren over juridische aspecten van com- plexe technologievraagstukken, het opstellen en beoordelen van (inter)nationale contracten, het oplossen van geschillen en zo nodig het voeren van proce- dures. Huub zet zijn juridische kennis en gevoel voor techno- logie graag in voor de strategi- sche belangen van cliënten. Zijn aandachtsgebieden zijn IT- en internetrecht, security, privacy, auteursrecht en telecomrecht. T +31 70 2400 836 M +31 6 1099 2888 E dejong@louwersadvocaten.nl W www.louwersadvocaten.nl
  • 4. Madison Gurkha januari 2016 7 Het interview Het onderstaande schema geeft de vragen weer die u moet beantwoorden om vast te stellen of u een specifiek datalek moet melden aan de betrokkenen. Iedere vraag uit het schema correspondeert met een paragraaf uit het document “Beleidsregels meldplicht datalekken voor toepassing van artikel 34a van de Wbp” dat in december 2015 door de Autoriteit Persoonsgegevens is gepubliceerd. Deze en andere publicaties over de beveiliging van persoonsgegevens en over de meldplicht datalekken vindt u op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl. De verplichting uit de Wbp om de betrokkene te informeren is niet van toepassing. Als u de betrokkenen informeert, dan doet u dat op grond van uw zorg- plicht als financiële onderneming. U kunt de kennisgeving aan de betrokkene achterwege laten. De Autoriteit Persoonsgegevens kan, indien deze van oordeel is dat de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van u verlangen dat u alsnog een kennisgeving doet. U moet het datalek melden aan de Autoriteit Persoons- gegevens op grond van de meldplicht datalekken uit de Wbp. Ja Nee Nee Nee Ja Nee Ja Ja Nee Ja Ben ik een financiële onderneming als bedoeld in de Wet op het financieel toezicht? § 7.1 Biedt de cryptografie die ik heb toegepast voldoende be- scherming om de melding aan de betrokkene achterwege te kunnen laten? § 7.2 Bieden de andere technische beschermingsmaatregelen die ik heb genomen voldoende bescherming om de mel- ding aan de betrokkene achterwege te kunnen laten? § 7.3 Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene? § 7.4 Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten? § 7.5 U moet het datalek melden aan de betrokkene. Schematisch overzicht meldplicht datalekken bron: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf