Wet meldplicht datalekken: pas uw arbeidsovereenkomst aan
Per 1 januari 2016 is de ‘Wet Meldplicht Datalekken’ in werking getreden. Op grond van deze wet zijn organisaties (zowel ondernemingen als overheden) verplicht om direct melding te doen bij de Autoriteit Persoonsgegeven van een datalek dat mogelijk ernstige gevolgen heeft voor de bescherming van persoonsgegevens. Organisaties die nalaten een dergelijk datalek te melden, riskeren door de Autoriteit Persoonsgegevens te worden beboet.
Persoonsgegevens
Als werkgever verwerkt u persoonsgegevens over onder meer uw werknemers, klanten en relaties. Bent u werknemer, dan worden persoonsgegevens over u bijgehouden door talloze organisaties, waaronder uw werkgever. Persoonsgegevens zijn alle gegevens die tot een identificeerbaar individu zijn te herleiden. Voor zich spreekt dat met dergelijke gegevens zorgvuldig moet worden omgegaan. Het verwerken van persoonsgegevens is daarom aan regels gebonden, die zijn vastgelegd in de Wet bescherming persoonsgegevens. Om te voorkomen dat persoonsgegevens ‘in verkeerde handen vallen’ schrijft artikel 13 van de Wet bescherming persoonsgegevens voor dat alle organisaties die persoonsgegevens bijhouden, passende technische en organisatorische maatregelen moeten nemen om de toegang tot deze persoonsgegevens te beveiligen. Persoonsgegevens moeten derhalve niet alleen door technische maatregelen (gedacht kan worden aan wachtwoorden, versleuteling en beveiligingssoftware) worden beschermd tegen toegang door onbevoegde derden, ook dient een organisatie ervoor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken.
Meldplicht datalekken
Per 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden. Met deze wet is een nieuw artikel 34a aan de Wet bescherming persoonsgegevens toegevoegd, op grond waarvan iedere organisatie die persoonsgegevens bijhoudt, verplicht is om onverwijld een melding te doen bij de Autoriteit Persoonsgegevens als zich een inbreuk op de beveiliging van persoonsgegevens (een zogenoemd ‘datalek’) voordoet. Er is sprake van een datalek als persoonsgegevens worden blootgesteld aan verlies of onrechtmatige verwerking, doordat onbevoegde derden toegang verkrijgen tot deze persoonsgegevens, dan wel indien persoonsgegevens vrijkomen of worden vernietigd of gewijzigd, zonder dat dit de bedoeling is van de organisatie. Niet elk datalek hoeft aan de Autoriteit Persoonsgegevens (voorheen het ‘College bescherming persoonsgegevens’) te worden gemeld. Melding hoeft slechts te worden gedaan indien een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als daarop een aanzienlijke kans bestaat. Indien aannemelijk is dat de inbreuk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon op wie deze gegevens betrekking hebben, moet de inbreuk ook aan de betrokken personen worden gemeld.
Een datalek: eerder dan u denkt
Een datalek doet zich sneller voor dan u wellicht zou verwachten. Een datalek kan namelijk bestaan uit een gerichte inbreuk door hackers of een technisch beveiligingsprobleem, maar er is óók sprake van een datalek indien een van uw medewerkers een laptop, telefoon, USB-stick of andere gegevensdrager kwijtraakt of van een dergelijke zaak wordt bestolen. Er is mogelijk ook sprake van een datalek indien op een gegevensdrager een virus, trojan of andere ‘malware’ wordt aangetroffen. Deze en andere voorvallen dienen alle te worden gemeld bij de Autoriteit Persoonsgegevens, indien deze (mogelijk) leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het is aan de organisatie zelf om te bepalen of dat het geval is. De Autoriteit Persoonsgegevens heeft op haar website uitvoerige richtlijnen gepubliceerd om de organisatie daarbij te helpen. Er zal eerder sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens bij een gerichte aanval door hackers, dan bij het verliezen van een USB-stick. Bevat de USB-stick echter gevoelige informatie, dan dient desalniettemin melding aan de Autoriteit Persoonsgegevens plaats te vinden.
Pas uw arbeidsovereenkomst aan
Indien ten onrechte geen melding wordt gemaakt van een datalek, kan de Autoriteit Persoonsgegevens een hoge bestuurlijke boete oplegging die kan oplopen tot maximaal 820.000 euro of 10% van de jaaromzet, afhankelijk van de aard, omvang en duur van de overtreding, de impact van de overtreding op de persoonlijke levenssfeer van de daardoor gedupeerde personen, de mate waarin de organisatie een verwijt treft en eventuele eerdere overtredingen. Een werkgever heeft er dan ook een groot financieel belang bij dat werknemers het kwijtraken van een gegevensdrager en andere voorvallen, waarbij (mogelijk) persoonsgegevens in handen van derden zijn gevallen, zo spoedig mogelijk aan de werkgever melden, zodat de schadelijke gevolgen van het datalek zoveel mogelijk kunnen worden beperkt en onmiddellijk melding aan de Autoriteit Persoonsgegevens kan worden gedaan. Wij adviseren u dan ook om in de arbeidsovereenkomst met uw personeel of in uw personeelshandboek een artikel op te nemen op grond waarvan medewerkers diefstal of verlies van gegevensdragers op straffe van een boete zo spoedig mogelijk aan de werkgever dienen te melden. Deze bepaling zou als volgt kunnen luiden:
- “Werknemer is verplicht diefstal en/of verlies van alle in het kader van de uitoefening van zijn functie door Werkgever aan hem ter beschikking gestelde dan wel in het kader van de uitoefening van zijn functie door Werknemer gebruikte zaken en/of bescheiden, waaronder doch niet uitsluitend begrepen documenten, telefoon, laptop, sleutels, passen, inloggegevens, al dan niet elektronische dragers van gegevens zoals USB-sticks, en externe harde schijven en andere zaken en/of bescheiden die op enige wijze betrekking hebben op de bedrijfsaangelegenheden van Werkgever, onverwijld na ontdekking van het verlies of de diefstal te melden aan Werkgever.
- Werknemer is voorts verplicht om onverwijld een melding te doen aan Werkgever van de ontdekking van een virus, trojan of andere malware op een door Werkgever aan Werknemer ter beschikking gestelde of binnen het kader van de uitoefening van zijn functie door Werknemer gebruikte computer, laptop, tablet, telefoon of ander apparaat.
- Bij overtreding of niet-nakoming door Werknemer van de in lid 1 en/of lid 2 genoemde verplichtingen, verbeurt Werknemer ten gunste van Werkgever, zonder dat aanmaning, ingebrekestelling of rechterlijke tussenkomst is vereist, een onmiddellijk opeisbare boete van […]”
Bewerkersovereenkomst
Het is goed om u te realiseren dat uitbesteding van uw personeels- en/of salarisadministratie aan een andere vennootschap in het concern of een externe partij u niet ontslaat van uw verplichtingen op grond van de Wet bescherming persoonsgegevens.Daarnaast is mogelijk dat u persoonsgegevens laat verwerken door bijvoorbeeld uw softwareleverancier, uw accountant of uw provider. U blijft te allen tijde zelf verantwoordelijk voor een passende technische en organisatorische beveiliging van persoonsgegevens. Op grond van artikel 14 van de Wet bescherming persoonsgegevens bent u verplicht om met alle partijen, aan wie u de verwerking van persoonsgegevens uitbesteedt, een zogenoemde ‘bewerkersovereenkomst’ te sluiten waarin afspraken zijn vastgelegd over de naleving van de Wet bescherming persoonsgegevens. Met de Wet Meldplicht Datalekken heeft de bewerkersovereenkomst aanzienlijk aan belang gewonnen, nu daarin harde afspraken kunnen worden gemaakt over onder meer de beveiliging van persoonsgegevens, het toezicht daarop, de onverwijlde melding van datalekken en de aansprakelijkheidsverdeling, indien zich onverhoopt een datalek voordoet en schade wordt geleden.
Uiteraard assisteren wij u graag bij het opstellen of controleren van uw arbeids- en bewerkersovereenkomsten.