Meldplicht datalekken

Filter

Meldplicht datalekken

Sinds 1 januari 2016 zijn organisaties (zowel bedrijven als overheden) vrijwel altijd verplicht om een melding te doen bij de Autoriteit Persoonsgegevens zodra zij een datalek hebben. Bij een datalek is er namelijk sprake van overtreding van de Privacywet (AVG). In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen van wie de persoonsgegevens zijn gelekt.

Wat is een datalek?

Indien een organisatie onbedoeld anderen toegang geeft tot persoonsgegevens van derden en hieruit beveiligingsincidenten kunnen ontstaan, noemen we dit een datalek. Een datalek ontstaat naar aanleiding van een beveiligingsprobleem. Voorbeelden zijn:

  • Een kwijtgeraakte USB-stick.
  • Een gestolen laptop.
  • Een inbraak door een hacker.
  • Een malware-besmetting.
  • Een calamiteit (zoals een brand in een datacentrum: ook het verlies van gegevens wordt gezien als datalek).

Ben ik altijd verplicht een datalek te melden?

Niet iedere datalek hoeft gemeld te worden aan de Autoriteit Persoonsgegevens. Dit is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Een belangrijke factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Gelekte persoonsgegevens van “gevoelige aard” moeten over het algemeen direct gemeld worden. Denk hierbij aan:

  • Bijzondere categorieën persoonsgegevens (raciale/etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, etc.).
  • Gegevens over de financiële of economische situatie van de betrokkene.
  • Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, werk- of relatieproblemen).
  • Gebruikersnamen, wachtwoorden en andere inloggegevens.
  • Gegevens die kunnen worden misbruikt voor (identiteits-)fraude (Burgerservicenummer).

Wilt u weten of u een datalek moet melden? Of wilt u een datalek melden? Lees meer op de website van de Autoriteit Persoonsgegevens.

Boete

Meldt u een datalek niet terwijl dit wel had gemoeten? Dan riskeert u een boete die kan oplopen tot maar liefst 20 miljoen euro. Maar de boete kan nooit meer zijn dan 4% van de wereldwijde jaaromzet van een onderneming. Als u zich wel aan de AVG richtlijnen heeft gehouden en u heeft uw privacybeleid op orde, dan zijn de maximale boetes de helft hiervan. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive.

Kan ik het risico op een datalek verzekeren?

Of een datalek boete gedekt is, is afhankelijk van uw verzekering. Niet alle verzekeraars kennen een dergelijk boete-dekking. Maar u kunt ook andere schade lijden door de datalek. Denk bijvoorbeeld aan imagoschade, of inkomensverlies door bedrijfsstilstand.

De beroepsaansprakelijkheidsverzekering biedt dekking voor de vermogensschade die door een cyberrisico kan zijn ontstaan. Het gaat hierbij om schades die ontstaan zijn door een beroepsfout. Er kan in dat geval ook aanvullende dekking zijn op de cyberverzekering. Andere schades, bijvoorbeeld ten gevolge van cybercriminaliteit, worden niet op een aansprakelijkheidsverzekering gedekt. Hiervoor dient u een cyberverzekering af te sluiten.

De cyberrisk verzekering

De cyberrisk verzekering kan grofweg worden opgedeeld in drie dekkingen:

  • Dekking voor bijkomende kosten, zoals professionele ondersteuning bij het ontdekken van een incident, onderzoekskosten, kosten van verweer, kosten om reputatieschade te voorkomen.
  • Eigen schade als gevolg van een incident, hier valt te denken aan dataherstel, bedrijfsstilstand, schade door en advies bij afpersing,  PR- en communicatiekosten.
  • Schade aan derden (aansprakelijkheid) als gevolg van een incident, dit omvat het nalaten van “voldoende” beveiligingsmaatregelen, schending privacy- of geheimhoudingsplicht, ongewild besmetten van systemen van derden, kosten van verweer.

Cyberverzekering afsluiten?

De cyberrisk verzekering is een jonge verzekering waardoor de dekking en kleine lettertjes bij verzekeraars nog vrij uiteen lopen (er is nog geen sprake van uniformiteit in de polissen). Zo is de boete naar aanleiding van een datalek bij sommige verzekeringen wel gedekt, bij andere niet. Veldhuis Advies doet zaken met diverse cyberrisk verzekeraars en zorgt samen met professionele bedrijven op het gebied van cyber preventie voor een passende verzekering. Neem gerust contact met ons op voor meer informatie via bedrijven@veldhuisadvies.nl of bel 0578-699789. We helpen u graag.

Neem contact op


Direct contact

Wilt u meer informatie of een afspraak maken? Bel dan op werkdagen tussen 08.30 en 17.30 uur met Veldhuis Advies of maak gebruik van het contactformulier.

(0578) 699 760 info@veldhuisadvies.nl

Klik hier om een schade te melden.

  • Ja, ik ga akkoord met de verwerking van mijn gegevens volgens het privacy reglement. *

  • * verplicht veld