Categorie: IE-recht

De juridische gevolgen van een datalek

Ondernemers die gegevens opslaan moeten rekening houden met een eventuele kans op een datalek. Denk aan het verlies van een USB-stick met niet-versleutelde persoonsgegevens, of een cyberaanval waarbij persoonsgegevens zijn buitgemaakt of wellicht nog veel meer voorkomend, het versturen van een mail naar iemand anders dan voor wie de mail bedoeld was. Zo’n 70% van de datalekken in Nederland wordt veroorzaakt door menselijk handelen. Het voorkomen van datalekken is lastig. Sinds 1 januari 2016 geldt er een verplichting om een datalek in de organisatie, te melden bij de Autoriteit Persoonsgegevens. Dat geldt overigens niet voor iedere datalek. Stel je kampt als ondernemer met een datalek. Welke stappen moet je zetten?

Definitie van een datalek

De Algemene Verordening Gegevensbescherming (AVG) definieert een datalek als: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Er zijn drie soorten datalekken

Inbreuk op de vertrouwelijkheid

Persoonsgegevens zijn openbaar gemaakt of er is toegang geweest tot persoonsgegevens. Dit is gebeurd door iemand die daartoe niet bevoegd is, of dit is per ongeluk gebeurd.

Inbreuk op de integriteit

Persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is, of dit is per ongeluk gebeurd.

Inbreuk op de beschikbaarheid

De organisatie waar het datalek is (geweest) kan niet meer bij de persoonsgegevens komen, of de gegevens zijn vernietigd. Dit is gebeurd door iemand die daartoe niet bevoegd is, of dit is per ongeluk gebeurd.

Welke stappen moet je nemen?

Is er van één van de bovenstaande inbreuken sprake, onderneem dan samen met een ervaren advocaat de volgende stappen:

Stap 1: Melden van een datalek 72 uur na ontdekking

Er geldt een verplichting een datalek te melden binnen 72 uur na de ontdekking. De melding moet worden gemaakt bij de Autoriteit Persoonsgegevens.

Stap 2: Meld ook de datalek aan de betrokkenen

Daarnaast kan het nodig zijn om de personen wiens gegevens zijn gelekt op de hoogte te stellen, vooral als de inbreuk een aanzienlijk risico vormt voor hun rechten en vrijheden.

Stap 3: Onderzoek eventuele schadeclaims van deze betrokkenen

Individuen van wie de gegevens zijn gelekt, hebben mogelijk het recht om een schadeclaim in te dienen tegen de organisatie die verantwoordelijk is voor het datalek. Deze claims kunnen gericht zijn op het verkrijgen van compensatie voor eventuele schade die voortvloeit uit het lek, zoals identiteitsdiefstal, financiële verliezen of reputatieschade. Onderzoek dit samen met een advocaat.

Stap 4: Communicatie is key

Schakel snel en stel in samenwerking met de communicatieafdeling een helder plan op. Hoe wordt er over dit datalek gecommuniceerd?

Stap 5: Verbeteren huidige IT-infrastructuur

Na een datalek kunnen organisaties verplicht worden om aanvullende maatregelen te implementeren om de beveiliging van gegevens te verbeteren en toekomstige inbreuken te voorkomen. Dit kan het herzien van beveiligingspraktijken, het uitvoeren van audits en het implementeren van verbeterde gegevensbeschermingsmaatregelen omvatten.

Conclusie

Als een datalek leidt tot geschillen of claims, kunnen organisaties betrokken raken bij langdurige juridische procedures en mogelijke reputatieschade. Dit kan onder meer betrekking hebben op het verdedigen tegen schadeclaims, het onderzoeken van de oorzaken van het lek en het voldoen aan wettelijke vereisten om het incident aan te pakken. Kampt jouw organisatie met een datalek? Neem dan contact op met onze ICT-recht specialisten.

Geschreven door:

mr. Erwin Mazaira
mr. E.P.J. (Erwin) Mazaira Advocaat

Gerelateerd nieuws:

De oppositieprocedure bij het BIOP
23 september 2024

De oppositieprocedure bij het BIOP

Iedere ondernemer kan ermee te maken krijgen; een bedrijf komt op de markt met een soortgelijke naam of logo. Wat doe je dan? Hoe kan je de naam va…

Lees verder
Mick Jagger versus merk “JAGGER”
3 juli 2024

Mick Jagger versus merk “JAGGER”

Een ingeschreven merk kan onder meer nietig worden verklaard, wanneer de aanvraag om inschrijving van dat merk te kwader trouw is ingediend. Dat sp…

Lees verder

Terug naar overzicht