Datalekken
Zoals alle bedrijven en overheden die persoonsgegevens verwerken, zijn we als bibliotheken wettelijk verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Hieronder lees je wat je moet weten en wat je moet doen als je zo’n lek constateert.
Wat is een datalek?
We spreken van een datalek als er sprake is van een inbreuk op de beveiliging, waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging ervan en andere vormen van onrechtmatige verwerking. Een kwijtgeraakte USB-stick met persoonsgegevens is dus ook een datalek, evenals een gestolen laptop of een inbraak in een databestand.
Meldpunt
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De VOB onderzoekt samen met verzekeringsmakelaar Concordia de Keizer de mogelijke gevolgen van de wetswijziging voor onze branche en komt wellicht tot een verzekeringsaanbieding.
Als je vermoedt dat er sprake is van een datalek, moet je dat melden bij de Autoriteit Persoonsgegevens. Hier vind je ook meer informatie over de meldplicht.
Gevolgen wetswijziging
De meldplicht geldt sinds 1 januari 2016, toen de Wet bescherming persoonsgegevens (Wbp) werd aangescherpt. De VOB onderzoekt momenteel nog, samen met verzekeringsmakelaar Concordia de Keizer, de mogelijke gevolgen van de meldplicht voor onze branche. Wellicht leidt dat tot een verzekeringsaanbieding.
Nieuwe verplichtingen
Voorheen keken we namelijk alleen naar de schade voor onze eigen organisaties als gevolg van een datalek. Bijvoorbeeld als gevolg van een hack, cyber- of DDoS-aanval, virus enzovoorts. Schade kan zijn: de kosten van het opsporen en verhelpen van de oorzaak, het repareren van bestanden en de bedrijfsstilstand.
Door de nieuwe wet ontstaan echter allerlei nieuwe verplichtingen. Zo kan alleen al de plicht om de betrokkenen te informeren aardig in de papieren lopen. Dan moet je immers een grote mailing versturen aan alle (oud-)leden en vervolgens alle vragen verwerken die een dergelijke mailing oproept. Naarmate het aantal vermiste ‘records’ (persoonsgegevens) toeneemt, kun je dit als organisatie vaak niet meer zelf. Dus moet je het uitbesteden (bijvoorbeeld aan een call center).
Daarnaast kan de organisatie ook door derden worden aangesproken als men op onderdelen van de wet in gebreke is gebleven.
Aangesproken door derden
Het kan ook voorkomen dat je als organisatie door derden wordt aangesproken op je wettelijke verantwoordelijkheid als men vindt dat je op onderdelen van de wet in gebreke blijft. Door traditionele verzekeringen wordt die aansprakelijkheid niet gedekt, net zo min als de meeste schades voor de eigen organisatie. Er is weliswaar een overlap met bijvoorbeeld een fraude- of computerverzekering, maar die is te gering.