Datalekken en (bestuurders) aansprakelijkheid

Bent u onlangs een USB-stick met datagevoelige informatie van uw bedrijf verloren of heeft uw bedrijf onlangs een (privacygevoelige) email naar de verkeerde persoon verzonden? Meld dergelijke datalekken bij de Autoriteit Persoonsgegevens en voorkom een flinke boete!

Wet bescherming persoonsgegevens & Datalekken

Sinds 1 januari 2016 zijn bedrijven ingevolge de Wet Bescherming Persoonsgegevens verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. Er wordt van een datalek gesproken wanneer persoonsgegevens buiten de macht van een bedrijf zijn gekomen of wanneer deze data door een onbevoegd persoon zijn verwijderd dan wel zijn veranderd. Bij een datalek wordt al snel gedacht aan het hacken van systemen van grote bedrijven, maar ook op het eerste gezicht onschuldig lijkende incidenten dienen bij de Autoriteit Persoonsgegevens gemeld te worden. De stelregel bij datalekken is dan ook dat wanneer sprake is van een aanzienlijke kans op negatieve gevolgen voor de bescherming van persoonsgegevens, het datalek gemeld dient te worden. Dit betekent dan ook dat wanneer u bijvoorbeeld een (privacygevoelige) e-mail naar de verkeerde persoon stuurt of wanneer u een USB-stick met datagevoelige informatie verliest, u dit dient te melden.

Het melden van een datalek

U dient een datalek binnen twee dagen nadat u daarmee bekend bent geraakt te melden aan de Autoriteit Persoonsgegevens. Voor bestuurders zal het melden van een dergelijk datalek vaak gepaard gaan met reputatieschade van het bedrijf, waardoor het raadzaam is eerst na te gaan of dat type datalek daadwerkelijk gemeld dient te worden. Wanneer dat inderdaad het geval is, dient u dit datalek (zoals reeds beschreven) binnen twee dagen te melden. Wanneer een datalek niet c.q. niet tijdig gemeld wordt en dit wel noodzakelijk wordt geacht, kan de Autoriteit Persoonsgegevens flinke boetes opleggen.

Ingrijpen door de Autoriteit Persoonsgegevens

Met betrekking tot persoonsgegevens zal de Autoriteit Persoonsgegevens onder meer in onderstaande gevallen ingrijpen:

  • Wanneer persoonsgegevens door een bedrijf onvoldoende worden beveiligd;
  • Wanneer een bedrijf opzettelijk data lekt dan wel heeft gelekt;
  • Wanneer een bedrijf bekend is met een datalek en het datalek gemeld had moeten worden, maar dit niet c.q. niet tijdig is gedaan.

(Bestuurders)aansprakelijkheid

De boetes die de Autoriteit Persoonsgegevens kan opleggen zijn niet mals. Zo kan de hoogte van een dergelijke boete oplopen tot een bedrag ad € 820.000,- of kan een boete van 10% van de netto jaaromzet van het bedrijf worden opgelegd. Dergelijke boetes worden niet alleen aan bedrijven opgelegd, maar kunnen ook aan de natuurlijke personen achter het bedrijf (ofwel de bestuurders van het bedrijf) worden opgelegd. Een bestuurder wordt persoonlijk aansprakelijk gehouden wanneer deze opdracht heeft gegeven tot het verrichten van strafbare gedragingen (in dit geval het lekken van data) of wanneer hij nalatig is geweest in het treffen van maatregelen teneinde het datalek te voorkomen. De Autoriteit Persoonsgegevens zal echter niet bij de eerste de beste overtreding een boete opleggen, maar zal het bedrijf c.q. de bestuurders van het bedrijf eerst waarschuwen.

Wordt u als bestuurder aansprakelijk gehouden?

Wordt u als bestuurder aansprakelijk gehouden voor een datalek dat door uw bedrijf is veroorzaakt of wordt u als bestuurder inzake een andere kwestie aansprakelijk gesteld? Neem dan – uiteraard geheel vrijblijvend – contact op voor een juridisch intakegesprek. U kunt ons telefonisch bereiken op het nummer 070 – 789 00 90 of via info@vanderzwanadvocaten.nl

Laat uw gegevens achter en wij nemen binnen 24 uur contact met u op

Contact

Van der Zwan Advocaten
Adelheidstraat 76

2595 EE Den Haag

T. 070 – 789 00 90
E. info@zwanadvocaten.nl