Categorieën
Intern Beleid

Wat te doen bij een datalek?

Doordat onze samenleving steeds verder digitaliseert, neemt het risico op datalekken binnen het bedrijfsleven toe. Een datalek kan bijvoorbeeld ontstaan doordat je organisatie te maken krijgt met cybercriminaliteit. Ook kan het voorkomen dat een van je medewerkers onvoorzichtig omspringt met vertrouwelijke gegevens van klanten. In beide gevallen is het belangrijk dat je beschikt over een gedegen intern protocol voor datalekken. De AVG verplicht dit ook. We bespreken in het kort enkele stappen die je het beste neemt bij een mogelijk datalek.

1. Is er werkelijk sprake van een datalek?

Ontvang je signalen over een mogelijk datalek binnen je bedrijf, blijf dan vooral rustig en ga na of er daadwerkelijk sprake is van een datalek. Enkele voorbeelden waarbij je van een datalek kunt spreken zijn:

  • een laptop of een USB-stick met hierop privacygevoelige gegevens wordt gestolen of raakt verloren;
  • je bedrijfssysteem wordt gehackt door cybercriminelen in de vorm van ransomware;
  • een van je medewerkers verzendt per ongeluk een mailbericht met vertrouwelijke gegevens naar een verkeerde geadresseerde;
  • je afgedankte printer of computer is onvoldoende gereinigd, waardoor deze nog gevoelige gegevens bevat;
  • je bedrijf verwerkt privacygevoelige data op een onrechtmatige wijze.

Bedenk wel dat het ingeval van een datalek altijd moet gaan om persoonsgegevens, dus gegevens die herleidbaar zijn naar een specifiek persoon. Je kunt hierbij onder meer denken aan NAW-gegevens, BSN-nummers, persoonlijke financiële data, medische informatie of kredietkaartgegevens.

2. Neem maatregelen om de schade te beperken.

Heb je inderdaad met een datalek te maken? Kom dan snel in actie en beperkt zoveel mogelijk de schade. Analyseer de situatie grondig en probeer achter de ware toedracht en omvang van het datalek te komen. Schakel desnoods professionele hulp hierbij in en stel eventueel een crisisteam samen.

Check verder of het datalek nog ‘actief’ is, met andere woorden of de hacker dan wel onbevoegde medewerker nog toegang heeft tot je systemen. Ga ook na of enkel persoonlijke data zijn gelekt, dan wel of hiernaast ook gegevens zijn vernietigd. Blokkeer accounts en verplaats je data naar een veilige locatie.

Hiernaast is van belang dat je lering trekt uit het datalek en dat je interne bedrijfsverbeteringen doorvoert. Probeer zoveel mogelijk informatie te vergaren over de oorzaak van het datalek en over hoe je dit in de toekomst kunt voorkomen. Richt je ICT-omgeving zo in dat deze voortdurend informatie verzamelt, bijvoorbeeld door het automatisch aanmaken van logbestanden. Ook in het kader van dossieropbouw ten behoeve van de Autoriteit Persoonsgegevens is het van belang dat je relevante informatie bijhoudt.

3. Bepaal of er een melding moet worden gemaakt bij de AP

In Nederland geldt al enige jaren een meldplicht voor datalekken, in die zin dat je de Autioriteit Persoonsgegevens hiervan in kennis moet stellen. Dit is echter enkel het geval wanneer het datalek kan leiden tot ernstige gevolgen voor de betrokkenen. Denk bijvoorbeeld aan identiteitsmisbruik, financiële gevolgen of reputatieschade. De website van de Autoriteit vermeldt meer gedetailleerd wanneer sprake is van een meldplicht.

Bedenk overigens dat het onterecht niet melden van een datalek kan leiden tot een forse boete van de Autoriteit. Ingeval van twijfel, kun je deze dan ook het beste hiervan in kennis stellen.

4. Registreer het lek in je datalekregister

Een andere verplichting bestaat erin dat je het datalek registreert in het interne dataregister van je bedrijf. Iedere organisatie die verwerkingsverantwoordelijke is dient een datalekregister te hebben. Documenteer elk incident, ook al geldt geen meldingsplicht bij de Autoriteit Persoonsgegevens. Hier kan de Autoriteit Persoonsgegevens ook om vragen wanneer zij een controle doen.

5. Bepaal of betrokkenen op de hoogte gesteld moeten worden

Last but not least, is het van belang dat ook de personen van wie de gegevens zijn gelekt hiervan op de hoogte worden gesteld. Sowieso ben je dit namens je bedrijf verplicht ingeval sprake is van een een hoog risico of ernstige gevolgen voor de betrokken personen. Ook hier weer kun je denken aan financiële schade, imagoschade of inbreuk op de privacy.

Wees altijd open en eerlijk ten aanzien van de betrokken personen en houd hen op de hoogte van de verdere ontwikkelingen. Ook al kan het een uiterst vervelende situatie opleveren, het feit dat je hierin je verantwoordelijkheid neemt zal altijd voor jou pleiten.

Hoewel het belangrijk is om een plan van aanpak te hebben voor het geval een datalek ontstaat, is het natuurlijk beter om een datalek te voorkomen. Wij kunnen je helpen met het maken van een risicoanalyse en het opstellen van alle benodigde protocollen. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

AVG-proof worden in 10 stappen? Download onze infographic en lees welke stappen jij moet ondernemen om jouw bedrijf te laten voldoen aan de eisen van de AVG.

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of Linkedin! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Categorieën
Corona

Je gegevens achterlaten bij de horeca, is dat wel AVG-proof?

We zijn er inmiddels aan gewend geraakt, de serveerster die ons vraagt om ‘vanwege corona even een blaadje in te vullen met onze contactgegevens’. Maar waarom wordt deze vraag eigenlijk gesteld en hoe zit dit vanuit het privacy oogpunt? Belangrijker nog, wat gebeurt er precies met onze gegevens die wij achterlaten?

Niet verplicht

De vraag van de serveerster vloeit voort uit de registratieplicht voor horecaondernemers. Per 10 augustus 2020 zijn zij verplicht om hun gasten te vragen zich te registreren. Deze registratie is bedoeld voor eventueel bron- en contactonderzoek door de GGD, wat dan weer onderdeel vormt van de bestrijding van COVID-19. Simpelweg wil de GGD na een corona-uitbraak kunnen achterhalen wie in de horecazaak of op het terras aanwezig is geweest. Het gaat dan doorgaans om de naam en de contactgegevens van de gast, zoals het telefoonnummer en het e-mailadres. Ook wordt weleens verzocht om het tafelnummer en het tijdstip van aanwezigheid te noteren.

Belangrijk om te weten is dat je als gast niet verplicht bent om je contactgegevens voor registratie achter te laten als je dat niet wil. Horecaondernemers dienen je om toestemming hiervoor te vragen en je kunt dit dus weigeren. Ook is het zo dat men jou niet de toegang tot de horecazaak mag ontzeggen als je hieraan niet meewerkt. Jouw toestemming moet volgens de privacywetgeving immers ‘vrij zijn gegeven’ en dus niet onder druk, waarbij het niet verstrekken van deze gegevens geen nadelige gevolgen voor jou als gast mag hebben. Ook dit volgt uit de geldende privacyregels en is onder meer terug te lezen in een brief van demissionair Minister De Jonge aan de Tweede Kamer.

Wat gebeurt er met mijn gegevens?

De horecaondernemer mag je gegevens enkel bewaren voor het doel waarvoor deze door jou verstrekt zijn, dus het contactonderzoek verricht door de GGD. Enkel hiervoor mogen deze gegevens worden gebruikt. Het is uiteraard niet de bedoeling dat je gegevens worden gebruikt voor bijvoorbeeld het versturen van nieuwsbrieven. Ook zijn deze gegevens niet bedoeld voor de gemeente of de politie.

Verder is het van belang dat je gegevens op een veilige manier worden bewaard, waardoor alleen de GGD de gegevens kan ontvangen. Je gegevens mogen bovendien niet langer dan 14 dagen bewaard worden, hierna moeten je gegevens worden vernietigd.

In de praktijk is de horecaondernemer verplicht om jou als gast op deze punten te wijzen op het moment dat jij toestemming geeft tot registratie van je gegevens. Vaak zie je dan ook op het invulbriefje een vakje staan dat je dient aan te vinken, waarmee je de horecaondernemer toestemming geeft om je gegevens te verwerken.

Is er reden tot ongerustheid?

Waarschijnlijk niet. Zolang de horecaondernemer keurig de privacyregels volgt, is er geen probleem. De verwachting is dat het gros van de horecazaken een goed intern beleid op dit vlak kent. Bij twijfel zou je nog extra navraag kunnen doen bij de serveerster wat er precies met je gegevens gebeurt. En anders vul je het briefje gewoon niet in.

Interesse in een handig overzicht van de AVG-wet? Download dan hier onze infographic.

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Categorieën
Corona

Hoe werken je medewerkers privacy-proof thuis?

De coronacrisis heeft ervoor gezorgd dat thuiswerken de norm is geworden. Terwijl de regering een steeds verdere versoepeling van de coronamaatregelen aankondigt, lijkt het werken vanuit huis helemaal te zijn ingeburgerd en onderdeel te vormen van het ‘nieuwe normaal’.

Desondanks dit een positieve ontwikkeling is, betekent dit dat organisaties er goed aan doen om hun medewerkers enige kennis over privacybescherming bij te brengen. Het laatste wat je als werkgever wilt, is dat de persoonlijke gegevens van je klanten of je medewerkers zelf op straat komen te liggen. Hierover tref je praktische tips in deze blog.

Veilige thuiswerkplek

De belangrijkste en meest logische tip is om ervoor te zorgen dat je medewerker veilig thuis kan werken. Dit houdt in dat een medewerker vanuit huis op een beveiligde manier kan inloggen op de server of online omgeving van je organisatie. Met bijvoorbeeld een VPN-verbinding wordt de verbinding tussen de computer of tablet van je medewerker en het internet beveiligd. Dit lijkt misschien logisch, maar het zou je verbazen hoeveel bedrijven hun IT-systemen hier nog onvoldoende op hebben ingericht.

Zorg er hiernaast voor dat je medewerker beschikt over de juiste apparatuur, voorzien van een goed antivirusprogramma, een firewall en periodieke updates om de apparatuur te beveiligen tegen virussen. Om dit op de juiste manier in te stellen kan je het beste informatie opvragen bij een professioneel IT-bedrijf. Ongetwijfeld heeft dit bedrijf goede tips en kan zij je IT-omgeving op de meest veilige manier inrichten.

Eigen verantwoordelijkheid

Ook is het belangrijk dat jouw medewerker ervan bewust is dat hij of zij ook in zijn eigen thuisomgeving zorgvuldig met vertrouwelijke persoonsgegevens moet omspringen. Overigens geldt dit natuurlijk voor alle bedrijfsdata.

Praktisch gezien houdt dit in dat je medewerker ervoor waakt dat hij bijvoorbeeld geen losse papieren of USB-sticks met vertrouwelijke gegevens laat rondslingeren. Wanneer er gebruik wordt gemaakt van USB-sticks, is het belangrijk dat de gegevens hierop versleuteld zijn. Op zijn computer schermt je medewerker de gegevens idealiter af via het gebruik van meerdere wachtwoorden. Zeker wanneer je medewerker kinderen heeft, bestaat het risico dat er nog weleens iets ‘verdwijnt’.

Zo is het ook van belang dat je medewerker voorzichtig is met het openen van ‘phishing’ mails. Hackers proberen via dergelijke mails in te breken in je bedrijfssystemen, wat een kostbare grap kan opleveren. Ook in het delen van informatie met collega’s en relaties dient je medewerker zorgvuldige te zijn.

Train je medewerkers

Alles begint uiteraard bij een stukje bewustwording. Het grootste gevaar schuilt doorgaans niet in het opzettelijk lekken van gegevens door je medewerker, maar in onbedoelde onachtzaamheid. Het is dan ook raadzaam om je medewerkers te trainen op bewustwording en hen duidelijk te maken dat zij hierin een eigen verantwoordelijkheid dragen. Ook hier geldt dat er meerdere professionele organisaties zijn die je hierin kunnen ondersteunen. Zie het dan ook als een zinvolle investering in je bedrijf. Het kan je een hoop ellende besparen.

Interesse in een handig overzicht van de AVG-wet? Download dan hier onze infogrpahic.

Wil je ook op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn. Hier vind je tips rondom de laatste ontwikkelingen van de AVG.

Categorieën
Wetgeving

Wetswijziging Telecommunicatie: een verplicht opt-in systeem

Vanaf 1 Juli 2021 treedt de wijziging van de Telecommunicatiewet in werking. Door deze wijziging verdwijnt het Bel-me-niet-register en wordt een verplicht opt-in-systeem van kracht. Dit heeft niet alleen gevolgen voor de klantwerving, maar ook voor de verwerking van klantgegevens. Wat betekent dit voor jouw bedrijf? Aan welke regels zal je moeten voldoen?

Telefonisch klanten werven

Je kent het wel, je laat je telefoonnummer achter om een whitepaper te downloaden en wordt vervolgens door het bedrijf benaderd over hun diensten. Hier zitten steeds minder mensen op te wachten, het voelt namelijk als een inbreuk op de privacy.

Om onverwachte commerciële telefonische benaderingen te voorkomen wordt daarom vanaf 1 Juli een specifieke opt-in verplicht gesteld. Er moet door alle natuurlijke personen, waaronder particulieren, ZZP’ers, en eenmanszaken, specifiek toestemming gegeven zijn voor een telefonische benadering. Dit is niet nodig indien er al sprake is van een bestaande klantrelatie.

Klantrelaties

Wanneer het telefoonnummer is achtergelaten bij een transactie mag de klant wel gebeld worden. Ook donateurs, vrijwilligers en sympathisanten van goede doelen mogen gebeld worden. Dit mag tot drie jaar na de financiële transactie of tot drie jaar nadat er voor het laatst toestemming is gegeven voor telefonische benadering.

Koude acquisitie

Hoe zit het dan met koude acquisitie, het bellen van potentiële klanten die nog niet in aanraking zijn geweest met jouw bedrijf? Alle telefoonnummers die privé gebruikt worden, mogen niet meer zonder opt-in benaderd worden. Dit geldt dus ook voor bijvoorbeeld eenmanszaken die met hun privénummer ingeschreven staan bij de Kamer van Koophandel. Zakelijke rechtspersonen zoals stichtingen, coöperaties en BV mogen echter wel nog benaderd worden zonder opt-in.

Opt-in

Het is niet alleen verplicht om een opt-in te gebruiken, maar ook om aan te tonen dat er een opt-in afgegeven is. Er zijn een aantal zaken verplicht om te registreren volgens de AVG:

  • Wie heeft deze toestemming gegeven?
  • Hoe is deze toestemming gegeven?
  • Wat is de bron van de toestemming?
  • Wanneer is er toestemming gegeven?
  • Welke toestemming is gegeven?
  • Wat is de status van de toestemming?

Verder moet het voor betrokkenen net zo gemakkelijk zijn om hun toestemming in te trekken als het verschaffen van hun toestemming. Indien zij een online opt-in hebben afgegeven, moet deze ook online weer opgeheven kunnen worden. Daarnaast mogen er geen nadelige gevolgen aan het opheffen van een opt-in zitten.

Wil je zeker weten dat jouw bedrijf aan de meest actuele eisen voldoet? Beantwoord de vragen van onze check en kom erachter in hoeverre jouw bedrijf AVG-proof is. Wij kunnen je helpen met het opstellen en implementeren van de juiste protocollen zodat jij volledig AVG-proof te werk kan gaan. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Categorieën
Wetgeving

Waarom sluit je een verwerkersovereenkomst af?

Als ondernemer schakel je vaak andere organisaties in om persoonsgegevens voor je te verwerken. Een dergelijke organisatie noemen wij een verwerker. Zelf blijf je verwerkersverantwoordelijke. Denk bijvoorbeeld aan de accountant die de boekhouding van je bedrijf verzorgt of het salaris administratiebureau dat jou ondersteunt bij je personeelszaken. Maar bijvoorbeeld ook aan een clouddienst om de persoonsgegevens op te slaan. Uiteraard is met het inschakelen van een verwerker niets mis, maar in dat geval is wel van belang dat je je verantwoordelijkheid neemt om ervoor te zorgen dat de door jou aangeleverde persoonsgegevens op een voldoende veilige wijze worden verwerkt.

Verantwoordelijkheid

Volgens de geldende privacywetgeving dien je als verwerkingsverantwoordelijke met de verwerker een verwerkersovereenkomst te sluiten. Doe je dit niet, dan zijn jullie beiden in overtreding. De Europese Commissie heeft een standaard voorbeeldovereenkomst ter beschikking gesteld, die in dit verband gebruikt kan worden.

Zoals al wel blijkt uit de naam, blijf je als verwerkingsverantwoordelijke altijd (eind)verantwoordelijk voor de persoonsgegevens die door je verwerker worden verwerkt. De achterliggende gedachte hiervan is dat je als ondernemer zelf de keuze maakt om het verwerken van deze gegevens uit te besteden en de gegevens dus met een ander te delen. Je klanten of personeelsleden mogen hiervan niet de dupe worden. Zij hebben ook geen directe relatie met je verwerker.

Overigens neemt dit niet weg dat je verwerker ook een eigen verantwoordelijkheid hierin draagt, ook zij zal zich moeten houden aan de privacyregels. Je doet er als verwerkingsverantwoordelijke daarom goed aan om je verwerker hierop te wijzen, temeer omdat jij dus de eindverantwoordelijkheid draagt wanneer je verwerker over de schreef gaat. Denk bijvoorbeeld aan het laten ontstaan van een datalek. Hierbij is het je zelfs toegestaan om je verwerker bepaalde instructies mee te geven, bijvoorbeeld over de wijze waarop zij de persoonsgegevens dient te verwerken of deze veilig dient te bewaren.

Wat staat erin?

Kort gezegd, is het doel van het sluiten van een verwerkersovereenkomst dat je als verwerkingsverantwoordelijke uitsluit dat je verwerker de van jou ontvangen persoonsgegevens voor eigen doeleinden verwerkt. Het is dan ook belangrijk dat je alleen verwerkers inschakelt die voldoende garanties bieden dat zij voldoen aan de wettelijke vereisten.

In de verwerkersovereenkomst regel je standaard een aantal onderwerpen. Zo zal je in de overeenkomst onder meer beschrijven welke persoonsgegevens precies worden verwerkt en wat de duur, de aard en het doel is van de verwerking. Ook zal je hierin ingaan op de categorieën personen wiens gegevens worden verwerkt en op welke wijze de verwerking plaatsvindt. In de overeenkomst neem je ook de instructies op die je als verwerkingsverantwoordelijke aan de verwerker geeft.

Verder kun je denken aan een geheimhoudingsplicht, die geldt voor personen die in dienst van of werkzaam zijn voor je verwerker. Ook zij dragen immers een verantwoordelijkheid. En natuurlijk wordt in de overeenkomst opgenomen welke technische en organisatorische maatregelen worden genomen om de verwerking van de persoonsgegevens te beveiligen.

Regel dit goed

Kortom, zorg ervoor dat je dit aspect goed regelt als je verwerkers inschakelt. Je wilt uiteraard voorkomen dat persoonsgegevens op straat komen te liggen of dat je op enig moment met een flinke boete van de Autoriteit Persoonsgegevens geconfronteerd wordt. En het past natuurlijk ook niet bij de professionaliteit die je met je bedrijf wilt uitstralen.

Wil je zeker weten dat jouw bedrijf aan de meest actuele eisen voldoet? Beantwoord de vragen van onze check en kom erachter in hoeverre jouw bedrijf AVG-proof is. Wij kunnen je helpen met het opstellen en implementeren van de juiste protocollen zodat jij volledig AVG-proof te werk kan gaan. Neem bij twijfel altijd contact met ons op voor vrijblijvend advies!

Wil je op de hoogte blijven van het laatste nieuws rondom de AVG-wet? Volg ons dan op Facebook of LinkedIn! Hier delen wij tips en nieuws rondom de laatste ontwikkelingen van de AVG.

Over de auteur: Niels Vanaken is advocaat bij Open Legal Advocaten. Hij staat met name ondernemers bij op diverse juridische terreinen.