Op 24 januari 2018 publiceerden wij het 3e deel van ons artikel over de AVG die op 25 mei 2016 in werking is getreden en vanaf 25 mei 2018 gehandhaafd gaat worden. Je hebt je inmiddels vast verdiept in de veranderingen en diverse acties ondernomen voor jouw organisatie. Maar wat nu als er toch persoonsgegevens op straat komen te liggen? In dit laatste deel informeren wij je over datalekken, informeren van betrokkenen en mogelijke boetes.
Op 24 januari 2018 publiceerden wij het 3e deel van ons artikel over de AVG die op 25 mei 2016 in werking is getreden en vanaf 25 mei 2018 gehandhaafd gaat worden. Je hebt je inmiddels vast verdiept in de veranderingen en diverse acties ondernomen voor jouw organisatie. Maar wat nu als er toch persoonsgegevens op straat komen te liggen? In dit laatste deel informeren wij je over datalekken, informeren van betrokkenen en mogelijke boetes.
Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Dit is niet alleen het geval bij inbraak in een databestand (hacken). Ook een kwijtgeraakte usb-stick, een gestolen laptop, een e-mail aan een verkeerde geadresseerde, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.
Zorg dat jouw organisatie een datalekken protocol heeft zodat voor iedereen duidelijk is hoe er gehandeld moet worden indien een datalek zich voordoet.
Onder de AVG worden de eisen aangaande datalekken t.o.v. de Wbp wat strenger. Samengevat komt het hier op neer:
Bij een hoog risico na een datalek dien je dus de betrokkenen te informeren over het datalek. Volgens artikel 34 van de AVG zijn er een drietal uitzonderingen waarbij je betrokken niet hoeft te informeren:
Het doel van het registreren is dat ervan kan worden geleerd, om datalekken in de toekomst zo veel mogelijk te voorkomen. Een ander doel is dat daarmee aan de Autoriteit Persoonsgegevens kan worden aangetoond dat datalekken daadwerkelijk worden gemonitord en opgevolgd.
In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen minimaal omschreven moet worden. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG). Wat je in ieder geval moet registreren:
Op grond van de AVG wordt de boetebevoegdheid van de AP verder uitgebreid. De boetes kunnen dan maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet bedragen. In vergelijking: onder de Wbp kan het bedrag oplopen tot maximaal €820.000. De extreem hoge boetebedragen onder de AVG zijn in het leven geroepen om grote multinationals tot gedragsverandering te bewegen. Deze wet biedt de mogelijkheid om de boetes aan te passen naar de grootte van het bedrijf. Het is daarmee ook de bedoeling om organisaties te laten afschrikken, zodat zij er alles aan zullen doen om compliant te worden.
Bij het bepalen van de boete wordt met de volgende factoren rekening gehouden:
Vijverberg juristenICT Recht
Autoriteit Persoonsgegevens
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
LOYALTY INSIGHT
WETENSCHAP
Ontvang de meest actuele Loyalty Marketing trends, cases, inzichten, wetenschappelijke artikelen, uitnodigingen voor events, boekreviews, opinies en nog veel meer elke maand automatisch in je mailbox.
Bekijk ons privacybeleid voor meer informatie over de verwerking van jouw gegevens.