Gemiddeld zitten de gegevens van een persoon in honderden tot duizenden bestanden. Dat deze persoonsgegevens voldoende worden beveiligd, is iets waar ieder persoon op moet kunnen rekenen. Worden ze slecht beveiligd, dan onstaat de kans op een datalek, wat weer kan leiden tot misbruik van deze gegevens. Maar wat is een datalek precies? Hoe voorkom je een datalek? En wat doe je als er wel een datalek ontstaat?
Allereerst, wat wordt er precies onder een datalek verstaan? Voorbeelden zijn: een gestolen laptop, een gehackt databestand of een verloren USB-stick met persoonsgegevens. Datalekken zijn te voorkomen door persoonsgegevens volgens de Wet bescherming persoonsgegevens (Wbp) te beveiligen. Deze wet geeft aan dat men hiervoor passende organisatorische en technische maatregelen moet nemen. Dit betekent dat organisaties de moderne techniek in moeten zetten om persoonsgegevens te beveiligen. Daarbij is het belangrijk om niet alleen te kijken naar de techniek, maar ook naar hoe er met de persoonsgegevens wordt omgegaan. Wie in de organisatie heeft er bijvoorbeeld toegang tot welke gegevens? Ga je als organisatie persoonsgegevens verzamelen, dan moet je op 3 dingen letten:
Toch een datalek? Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Door deze meldplicht moeten organisaties direct melding maken bij de Autoriteit Persoonsgegevens (AP) wanneer er sprake is van een ernstig datalek. Wanneer hier geen melding van wordt gemaakt, kan de AP een boete opleggen. Afhankelijk van de ernst van het datalek moeten ook de betrokkenen (de mensen waarvan de gegevens zijn gelekt) op de hoogte worden gesteld. Is het onwaarschijnlijk dat het datalek de persoonlijke levenssfeer van de betrokkenen aantast, dan is melding aan hen niet nodig.
Des te minder bewaarde persoonsgegevens, des te minder betrokkenen bij een mogelijk datalek. Het Vrijstellingsbesluit van de Wet bescherming persoonsgegevens regelt dat organisaties deze gegevens niet langer mogen bewaren dan noodzakelijk is. Hoelang het noodzakelijk is hangt af van de doeleinden waarvoor de gegevens zijn verzameld. Aan de hand van het doel bepaalt een organisatie zelf hoelang bewaring nodig is. In onder meer het Burgerlijk Wetboek, de Archiefwet, de onderwijs- en belastingwetgeving en sollicitatiecodes staan wel concrete bewaartermijnen genoteerd.
Dit artikel geeft een beeld van uw privacyverplichtingen als werkgever, maar is geen juridisch advies. Aan het artikel kunnen geen rechten worden ontleend.
Meer weten? Neem dan contact met ons op.