De Wet Meldplicht Datalekken, iedereen moet aan de slag (ook bestuurders) !
Sinds 1 januari 2016 geldt de wet meldplicht datalekken..Als u in uw bedrijf een datalek ontdekt, bent u verplicht om hiervan melding te maken bij de Autoriteit Persoonsgegevens (AP). Doet u dit niet, dan riskeert u een fikse boete die kan oplopen tot € 820.000 of maximaal 10% van de jaaromzet. En ook u als bestuurder kunt naast het risico op imago schade, dit in uw portemonnee voelen.
Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.
Bestuurdersaansprakelijkheid buiten faillissement:
Als bestuurder dient u uw bestuurstaak behoorlijk te vervullen. Tot deze bestuurstaak behoort ook dat u ervoor zorgt dat uw onderneming zich houdt aan de geldende regelgeving. Ook datalekken zult u dus tijdig moeten melden. Als u dit niet doet en er volgt hiervoor een boete van de Autoriteit Persoonsgegevens (AP), dan kunt u tegenover de rechtspersoon voor deze boete aansprakelijk zijn. Dit zal het geval zijn als het niet-melden kwalificeert als een ernstig verwijt van u als bestuurder. Zolang u bestuurder bent, zal dit risico wel meevallen; u zult uzelf immers niet snel aansprakelijk stellen. Treedt u echter af als bestuurder dan kan dit veranderen. Een nieuwe bestuurder kan u dan immers alsnog aansprakelijk stellen.
Daarnaast bestaat de mogelijkheid dat de Autoriteit Persoonsgegevens de boete niet oplegt aan uw onderneming maar aan u als bestuurder zelf. Dit kan bijvoorbeeld het geval zijn als u persoonlijk opdracht heeft gegeven om het datalek niet te melden, terwijl u wist dat dit wel verplicht was. Als een boete aan u als bestuurder wordt opgelegd, kunt u deze bovendien niet altijd zonder meer op uw onderneming verhalen.
Bestuurdersaansprakelijkheid tijdens faillissement:
Aangezien de boete voor het niet melden van een datalek aanzienlijk kan oplopen, is het niet ondenkbaar dat deze boete het faillissement van uw bedrijf tot gevolg heeft. Veroorzaakt een boete van de Autoriteit Persoonsgegevens het faillissement van uw bedrijf, dan loopt u het risico om hiervoor door de curator aansprakelijk te worden gesteld. Een boete op grond van het niet naleven van de meldplicht datalekken kan immers al snel betekenen dat u uw bedrijf onbehoorlijk hebt bestuurd. Als dat onbehoorlijk bestuur het faillissement veroorzaakt heeft, kunt in privé aansprakelijk worden gesteld voor alle schulden van de failliete onderneming.
Met andere woorden:
Een goede bestuurder zorgt ervoor dat hij zijn zaken op orde heeft. Dit betekent dus ook dat de meldplicht datalekken wordt nageleefd. Als u hier onvoldoende kennis van heeft, is het verstandig om u hier goed over te laten adviseren. Doet u dit niet, dan kunt u de gevolgen hiervan uiteindelijk ook in uw eigen portemonnee voelen.
Hoe nu verder?
1) Preventieve maatregelen
Organisaties dienen preventief maatregelen te nemen. Zo moet elke organisatie kunnen aantonen dat ze voldoende technische en organisatorische maatregelen hebben genomen om een datalek te vermijden. Er moet preventief geacteerd worden maar er moet ook een draaiboek klaar liggen als er wel een mogelijk datalek is.
Wist u bijvoorbeeld dat voor sommige type data een ''eenvoudige'' beveiliging met wachtwoord
en gebruikersnaam al onvoldoende is en tot boetes kan leiden?
Daarnaast dient u zich (als voorman) ervan te vergewissen dat uw leveranciers zoals Cloud providers of Managed Services Providers (MSP) de contractuele plicht hebben u onmiddellijk van een "datalek" op de hoogte te stellen. De meldplicht geldt namelijk voor de "verantwoordelijke" (de eigenaar van de data), en moet binnen 2 dagen na ontdekking plaatsvinden. Dus als uw provider het u niet hoeft te melden en u krijgt een boete wat dan? Als uw organisatie een aanwijzing krijgt opgelegd komt zij bovendien voor vier jaar lang op de controlelijst van de AP te staan. U loopt dan de kans om regelmatig door de Autoriteit Persoonsgegevens (AP) geaudit te worden en dat is een situatie die u liever voorkomt.
2) Juridische begeleiding
Het is van belang dat organisaties al bij het ontstaan van een datalek juridische begeleiding te zoeken. Enerzijds omdat de boete fors kan zijn, maar ook omdat er een grote kans is op goodwill schade (uw datalek kan door de Autoriteit Persoonsgegevens (AP) bekend gemaakt worden en het schandpaal effect is des te groter wanneer u ook aan alle betrokkenen moet melden) en op administratieve fouten bij het indienen van de melding bij de AP.
Dus, voorkomen is beter dan genezen, tenzij u boetes, schadeclaims en reputatieschade voor lief wilt nemen. Wilt u ook weten hoe u vooraf de privacy in uw organisatie juridisch en organisatorisch op orde krijgt. En op deze wijze uw bedrijfsvoering in lijn brengt met wet- en regelgeving. Neem dan contact met ons op.