Datalekken: zijn jouw data veilig? Tips die wij aan u als ondernemer meegeven

19 juni 2019

Vraag en antwoord, met tips voor ondernemers

De afgelopen maand zijn er – meer dan anders – veel vragen binnen gekomen van ondernemers over de meldplicht bij datalekken. Hieronder geven wij antwoord op de meest gestelde vragen.

Iedere ondernemer (of organisatie, dus ook bijvoorbeeld een stichting) in Nederland is verantwoordelijk voor de privacygevoelige data binnen zijn bedrijfsvoering en riskeert een boete indien persoonsgegevens naar buiten ‘lekken’ doordat deze niet goed beveiligd zijn. Het uitgangspunt is immers dat iedereen recht heeft op een zorgvuldige omgang met zijn persoonsgegevens. Binnen een onderneming geldt dit voor klantgegevens als ook voor gegevens van medewerkers.

1. Wat is databeveiliging?

Databeveiliging is de verplichting die op de ondernemer rust om zorg te dragen voor passende (technische en organisatorisch) maatregelen om persoonsgegevens te beveiligen tegen ‘lekken’.

Het beveiligen van persoonsgegevens is een verplichting op grond van de Wet bescherming persoonsgegevens.

2. Wat is een datalek?

Er is sprake van een datalek als er inbreuk wordt gemaakt op de beveiliging van persoonsgegevens. Het gaat dan kort gezegd om het vrijkomen van persoonsgegevens, zonder dat dit de bedoeling is.

Voorbeelden van datalekken: een kwijtgeraakte USB-stick of een gestolen laptop met persoonsgegevens, maar ook de inbraak in een databestand met persoonsgegevens door een hacker.

3. Wat houdt de meldplicht in?

Volgens de wet moet de ondernemer melding maken bij de Autoriteit Persoonsgegevens als het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of daarvan sprake is, hangt onder meer af van de aard van de gelekte persoonsgegevens en de hoeveelheid gelekte gegevens.

Voorbeelden van persoonsgegevens van gevoelige aard zijn: bijzondere persoonsgegevens zoals godsdienst, politieke gezindheid, seksuele geaardheid; strafrechtelijke persoonsgegevens; financiële of economische persoonsgegevens; gebruikersnamen en wachtwoorden; kopieën van ID-bewijzen of het Burgerservicenummer (BSN).

Naast de melding aan de Autoriteit Persoonsgegevens moet soms het datalek aan de betrokkene (lees: degene wiens persoonsgegevens zijn gelekt) worden gemeld. Een melding aan de betrokkene moet worden gedaan als het datalek mogelijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer, zoals identiteitsfraude of discriminatie.

In alle gevallen is het de ondernemer die de afweging dient te maken of overgegaan zal worden tot melding aan de Autoriteit Persoonsgegevens en/of de betrokkene.

4. Wat gebeurt er indien de meldplicht wordt overtreden?

Bij overtreding van de meldplicht kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen, voor een bedrag van ten hoogste € 820.000,00. Bij het opleggen van een boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval, bijvoorbeeld of de privacybelangen van betrokkene daadwerkelijk zijn geschaad.


Tips die wij aan u als ondernemer meegeven:

–       Als ondernemer doet u er verstandig aan om bijvoorbeeld in de arbeidsovereenkomst een geheimhoudingsbeding op te nemen, eventueel versterkt door een boetebeding. Een boetebeding zorgt voor een prikkel waardoor de werknemer eerder zal nalaten data te lekken en het geheimhoudingsbeding serieus zal nemen;

–       Indien u als ondernemer voor uw bedrijfsvoering gebruik maakt van diensten van derden (clouddiensten, marketing of recruitmentdiensten) en die derden laat werken met persoonsgegevens uit uw onderneming, dan bent u op grond van de wet verplicht een schriftelijke ‘bewerkersovereenkomst’ aan te gaan met deze partij, gericht op het maken van beveiligingsafspraken. Zorg ervoor dat u duidelijke afspraken maakt over de verdeling van aansprakelijkheid. Onvoldoende aandacht voor de risico’s van datalekken in contracten kan uw organisatie duur komen te staan;

–       Sluit een passende cyber risk verzekering af.

Persoonsgevoelige branches met persoonsgegevens en/of medische gegevens

 • Accountants
 • Apotheken
 • Zorg / ziekenhuis
 • Huisartsen
 • Banken
 • Onderwijs
 • Overheid / gemeenten / defensie / politie
 • Telecombedrijven
 • Etcetera

Arslan Ter Wee biedt ondersteuning bij

 • Bewerkersovereenkomst
 • Naleven wetgeving
 • Verzekering datalekken / data recovery / dataverlies & data risk
 • Preventie
 • Datalek (medische) gegevens melden bij autoriteit persoonsgegevens
 • Procedure melden / protocol
 • Voorkomen of anders minimaliseren van boete
 • Geheimhouding medische gegevens
 • Geheimhouding persoonsgegevens

Heeft u hulp nodig bij het opstellen van een bewerkersovereenkomst of een geheimhoudingsbeding, of wilt u meer weten over de meldplicht op grond van de Wet bescherming persoonsgegevens, neemt u dan gerust contact op met Arslan Ter Wee advocaten.