Een klein lek doet een groot schip zinken


Auteur: Marco Bruin, manager Risk, Legal & compliance bij GGN Mastering Credit.

Publicatiedatum: 29 augustus 2016

Heeft uw firewall opengestaan? Dat is een inbreuk op de beveiliging van persoonsgegevens, die u € 820.000 kan kosten. 
Inloggegevens, NAW-gegevens, BSN, ID-kopieën, gegevens over werkprestaties, gezondheid en financiën… Als dit soort persoonsgegevens in verkeerde handen valt, kan dit ingrijpende gevolgen hebben. Denk aan ID-fraude en chantage. Daarom is in de Wet bescherming persoonsgegevens vastgelegd dat persoonsgegevens beveiligd moeten worden tegen verlies en onrechtmatige verwerking. Om ook in de praktijk een zorgvuldige omgang met deze gegevens te borgen, is de meldplicht datalekken ingegaan: sinds 1 januari 2016 moet een serieus datalek aan de Autoriteit Persoonsgegevens worden gemeld.

Check!
Heeft de firewall van uw organisatie een kwartiertje opengestaan? Dat geldt wettelijk als een datalek. Dan moet u checken wat de gevolgen zijn. Als blijkt dat er persoonsgegevens verloren zijn gegaan, is er sprake van een serieus datalek. Net als bij het kwijtraken van USB-sticks of diefstal van laptops met persoonsgegevens. Zo'n lek moet u binnen 72 uur melden bij de Autoriteit Persoonsgegevens. En vaak ook aan de personen van wie de gegevens zijn gelekt. Niet melden of onvoldoende maatregelen nemen om datalekken te voorkomen, is strafbaar. Boetes kunnen oplopen tot € 820.000 per gebeurtenis en ze zijn niet verzekerbaar. Tot zover de theorie. Nu de praktijk. Heeft u de beveiliging op orde? Is helder wat u moet doen, wanneer zich een datalek voordoet?

3.000.000 debiteuren 
GGN werkt met de persoonsgegevens van zo’n drie miljoen debiteuren. Die gegevens zijn afkomstig van honderden opdrachtgevers. Zijn wij nu voor de wet ‘verantwoordelijke’ of zijn we een zogenoemde ‘bewerker’: een partij die de gegevens voor een verantwoordelijke opdrachtgever verwerkt en bewerkt? Een relevante vraag. Want wie de verantwoordelijke is, moet het datalek melden. In de meeste gevallen zijn wij wettelijk de verantwoordelijke, maar het antwoord is afhankelijk van meerdere factoren. Eén ervan wil ik benadrukken: verschil van inzicht. Hoe zien organisaties hun eigen rol? Wij overleggen met onze opdrachtgevers en dan blijkt hoe anders we er soms tegen aankijken. Daarom maken we bindende afspraken. Ik zou dat iedereen aanraden: ga in gesprek met opdrachtgevers en leveranciers, regel het! Maak datastromen inzichtelijk. Spreek af wie waarvoor verantwoordelijk is en hoe je elkaar informeert als het misgaat. Als je binnen 72 uur een datalek moet melden, dan moet je écht weten hoe het zit en wat je moet doen.

Security officer
De afdeling Risk, Legal & Compliance van GGN telt zes fte. Twee functionarissen houden zich met gegevensbescherming bezig, waarvan er één ook als Security Officer werkt. In 2018 is een functionaris voor de gegevensbescherming gewenst volgens de nieuwe Europese Privacyverordening. Wij lopen graag op ontwikkelingen vooruit. GGN is bijvoorbeeld de enige deurwaarder met een internationale ISO 27001-certificering voor informatiebeveiliging. Als wij niet-betaalde vorderingen ter incasso in handen krijgen, nemen wij de beveiliging van persoonsgegevens serieus. Omwille van onze klanten en omwille van onze debiteuren.

Delen op: