De impact van de meldplicht datalekken op uw vereniging

Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Zowel een grootschalige inbraak als kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens geldt als een datalek. En dat is nog niet alles. Wie data lekt of persoonsgegevens verwerkt of laat verwerken zonder zich aan de wet te houden, riskeert boetes tot € 820.000,- of 10% van de jaaromzet, per overtreding. Het nalaten van het melden van een enkel datalek bij de toezichthouder kan een boete van €500.000,- opleveren.

In de praktijk duurt het gemiddeld 210 dagen voor een datalek opgemerkt wordt, en dan meestal ook nog eens door een externe partij, zonder monitoring ben je eigenlijk blind. Dit antwoord gaf Michel van Eeten (TU Delft) tijdens een congres over informatiebeveiliging.

Hoogste tijd dus om dieper in te gaan op de ins- en outs van deze meldplicht. Wat betekent dit voor uw vereniging?

meldplicht datalekken vereniging


De meldplicht datalekken is opgenomen in een nieuw artikel in de Wet Bescherming Persoonsgegevens (Wbp): artikel 34a. De klemtoon bij deze meldplicht ligt op datalekken als gevolg van beveiligingsproblemen. Deze datalekken moeten onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP), behalve als het datalek onder één van de uitzonderingen valt. De AP (tot 1 januari 2016 het College Bescherming Persoonsgegevens) is de overheidsinstantie die toeziet op zorgvuldig gebruik van persoonsgegevens. Nederland loopt met de Wet Meldplicht Datalekken vooruit op de Europese Algemene Verordening Gegevensbescherming (AVG) waarin ongeveer dezelfde bepalingen zijn opgenomen. De AVG treedt naar verwachting begin 2018 in werking.

Wat is een datalek
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens hadden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. Het kan zowel een probleem in de fysieke beveiliging betreffen als een probleem in de organisatorische beveiliging. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte ledenlijst ook een datalek vormen. Andere voorbeelden zijn: cyberaanvallen (incl. DDos), e-mails alle geadresseerden zichtbaar in de CC, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks. Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

U dient als organisatie preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen.

meldplicht datalekken vereniging


Waarom moet ik als vereniging actie ondernemen?

  • Omdat u wilt voorkomen dat u negatief in het nieuws komt door een datalek.
  • Omdat de sanctie op niet-naleving van de meldplicht aanzienlijk is. De boete bedraagt € 500.000,- per overtreding. Omdat een datalek dat niet gemeld wordt aan de AP en niet gemeld wordt aan de betrokkenen terwijl dat wel had gemoeten, kan één datalek twee overtredingen opleveren. Daar kan nog een boete voor slechte beveiliging of gebrekkige administratie bovenop komen.
  • Omdat Google beveiligde websites voorrang gaat geven in de zoekresultaten van de zoekmachine. Websites met een versleutelde https-verbinding komen automatisch hoger in de resultaten dan websites met een http-verbinding.
  • Omdat personen van wie de gegevens zijn uitgelekt waarschijnlijk sneller op de hoogte worden gesteld van het feit dat hun gegevens in verkeerde handen zijn gevallen. Vaak zullen zij naar aanleiding van het lek direct actie moeten ondernemen, bijvoorbeeld als het gaat om wachtwoorden die veranderd moeten worden of een bankrekening die geblokkeerd moet worden.

Neem maatregelen, regeren is vooruitzien
Het mag duidelijk zijn dat de meldplicht datalekken van organisaties een goede voorbereiding vereist. Als uw vereniging de impact van de meldplicht goed in kaart heeft gebracht en de noodzakelijke maatregelen getroffen heeft, kunt u de meldplicht met vertrouwen tegemoet treden.

Natascha van Duuren (partner Tech, Data & Innovation en privacyspecialist bij De Clercq Advocaten Notarissen) heeft samen met Marijn Storm (sinds 2014 als advocaat werkzaam bij de Clercq Advocaten Notarissen & specialist in de meldplicht datalekken) afgelopen donderdag 9 juni een exclusieve sessie gegeven over dit onderwerp.

Tijdens deze sessie zijn zij ingegaan op de juridische aspecten van de meldplicht en wat dit concreet voor een vereniging betekent.

Natascha van Duuren


Natascha van Duuren en Marijn Storm:
"De meldplicht datalekken blijkt ook onder verenigingen zeer te leven, zo bleek uit de enthousiaste groep deelnemers. Dit is ook niet verwonderlijk. De meeste verenigingen verwerken immers veel persoonsgegevens, soms zelfs gevoelige persoonsgegevens. Het is ook voor verenigingen dan ook van belang om te weten aan welke wettelijke vereisten zij moeten voldoen om boetes te voorkomen. Het is goed om te zien dat bij zoveel verenigingen privacy op de kaart staat."

Wilt u meer weten over dit onderwerp in relatie tot uw vereniging? Neem dan contact met ons op en we voorzien u graag van advies.

Download de whitepaper