Datalekken

Lees verder

Zoals alle bedrijven en overheden die persoonsgegevens verwerken, zijn we als bibliotheken wettelijk verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Hieronder lees je wat je moet weten en wat je moet doen als je zo'n lek constateert.

Wat is een datalek?

We spreken van een datalek als er sprake is van een inbreuk op de beveiliging, waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging ervan en andere vormen van onrechtmatige verwerking. Een kwijtgeraakte USB-stick met persoonsgegevens is dus ook een datalek, evenals een gestolen laptop of een inbraak in een databestand.

Meldpunt

Als je vermoedt dat er sprake is van een datalek, moet je dat melden bij de Autoriteit Persoonsgegevens. Hier vind je ook meer informatie over de meldplicht.

Gevolgen wetswijziging

De meldplicht geldt sinds 1 januari 2016, toen de Wet bescherming persoonsgegevens (Wbp) werd aangescherpt. De VOB onderzoekt momenteel nog, samen met verzekeringsmakelaar Concordia de Keizer, de mogelijke gevolgen van de meldplicht voor onze branche. Wellicht leidt dat tot een verzekeringsaanbieding.

Nieuwe verplichtingen

Voorheen keken we namelijk alleen naar de schade voor onze eigen organisaties als gevolg van een datalek. Bijvoorbeeld als gevolg van een hack, cyber- of DDoS-aanval, virus enzovoorts. Schade kan zijn: de kosten van het opsporen en verhelpen van de oorzaak, het repareren van bestanden en de bedrijfsstilstand.

Door de nieuwe wet ontstaan echter allerlei nieuwe verplichtingen. Zo kan alleen al de plicht om de betrokkenen te informeren aardig in de papieren lopen. Dan moet je immers een grote mailing versturen aan alle (oud-)leden en vervolgens alle vragen verwerken die een dergelijke mailing oproept. Naarmate het aantal vermiste ‘records’ (persoonsgegevens) toeneemt, kun je dit als organisatie vaak niet meer zelf. Dus moet je het uitbesteden (bijvoorbeeld aan een call center).

Aangesproken door derden

Het kan ook voorkomen dat je als organisatie door derden wordt aangesproken op je wettelijke verantwoordelijkheid als men vindt dat je op onderdelen van de wet in gebreke blijft. Door traditionele verzekeringen wordt die aansprakelijkheid niet gedekt, net zo min als de meeste schades voor de eigen organisatie. Er is weliswaar een overlap met bijvoorbeeld een fraude- of computerverzekering, maar die is te gering.