Wat doen als data lekken

Lees hier wanneer er sprake is van een datalek, hoe uw uitvaartonderneming datalekken voorkomt en wanneer u verplicht bent een datalek te melden.

Privacy is de laatste jaren een veelbesproken onderwerp. Met de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) is de bewustwording van rechten en plichten omtrent privacy bij consumenten en organisaties vergroot. Maar de wetgeving roept ook veel vragen op. Zo ook over datalekken.

In de media heeft u vast al voorbij zien komen dat de Autoriteit Persoonsgegevens (AP) fikse boetes kan uitdelen als data lekken. Maar wanneer is er sprake van een datalek, hoe voorkomt u een datalek en wanneer bent u verplicht om een datalek te melden? Dit artikel beantwoordt deze en meer vragen.

Wat zijn data?

Als we het hebben over de privacywetgeving en datalekken, dan bedoelen we het lekken van persoonsgegevens. Met persoonsgegevens bedoelen we alle informatie over een ‘identificeerbare natuurlijke persoon’. Het gaat dus over gegevens die direct over iemand gaan, of naar een bepaalde persoon te herleiden zijn.

De AVG heeft alleen betrekking op de gegevens van levende personen. Gegevens van overleden personen zijn dus geen persoonsgegevens voor de AVG, maar met gegevens die herleid kunnen worden naar bijvoorbeeld de nabestaanden van de overledene, moet u wel rekening houden met deze privacywetgeving. In uw uitvaartonderneming beschikt u waarschijnlijk over NAW-gegevens van medewerkers en contactgegevens van opdrachtgevers en andere nabestaanden, bijvoorbeeld in opdrachtbevestigingen, in uw boekhoudingen en/of in uw (mobiele) telefoon. 

De AVG beschermt ‘bijzondere’ persoonsgegevens extra. Bijzondere persoonsgegevens zijn gevoelige gegevens, bijvoorbeeld over iemands ras, godsdienst of gezondheid, maar ook genetische of biometrische gegevens. Uitvaartondernemingen hebben doorgaans niet met bijzondere persoonsgegevens van klanten van doen. Wees wel alert voor “godsdienst” voor het regelen van een religieuze afscheidsceremonie. Let ook op het verwerken van bijzondere persoonsgegevens van (ex-)werknemers, zoals foto's waarop ras zichtbaar is of een CV waarop staat dat iemand ouderling bij een bepaalde kerk is.

Voor de verwerking van bijzondere persoonsgegevens heeft u expliciete toestemming nodig van de betrokkene. Dit is het grote verschil met 'reguliere' persoonsgegevens, die mogen ook worden verwerkt als daarvoor impliciet toestemming is gegeven, bijvoorbeeld door het simpelweg bewust verstrekken van die gegevens.

Wat is een datalek?

Een datalek ontstaat wanneer onbedoeld of ongeoorloofd toegang wordt gegeven tot persoonsgegevens, waardoor de betrokkenen schade (kunnen) lijden. Het gaat dan vaak om inbreuk op de beveiliging, per ongeluk of op onrechtmatige wijze. Voorbeelden van datalekken zijn:

  • Een medewerker verliest een usb-stick waarop niet-versleutelde persoonsgegevens staan;
  • Een uitvaartverzorger heeft per ongeluk een opdrachtbevestiging – waarop NAW-gegevens staan vermeld – aan een verkeerd e-mailadres gezonden;
  • Uw website is doelwit van een cyberaanval waarbij persoonsgegevens worden buitgemaakt;
  • Een livestream uitzending wordt gekraakt.

Voorkomen is beter dan genezen

Om een datalek te voorkomen en - mocht het toch gebeuren - de schade te beperken, is het treffen van de juiste maatregelen van belang.

Veilige gegevens door veilige processen

Allereerst dienen persoonsgegevens waarover uw uitvaartonderneming beschikt goed beveiligd te worden. Bespreek daarom regelmatig intern de verwerking van persoonsgegevens binnen uw onderneming. Worden gegevens veilig opgeslagen? Welke medewerkers hebben daar toegang toe? Gaat uw uitvaartonderneming op een veilige manier om met het versturen van gegevens? Wanneer worden gegevens verwijderd?

Veilige gegevens door bewuste medewerkers

Uw personeel dient zich bewust te zijn van de gevaren van een datalek en dient zorgvuldig met persoonsgegevens om te gaan. Het is dus belangrijk hier binnen het team regelmatig met elkaar over te praten en elkaar alert te houden op hoe data verzameld, bewaard en gedeeld worden. Intern moet ook duidelijk zijn wat een datalek is, wat medewerkers moeten doen als ze een datalek tegenkomen en wat de gevolgen voor de onderneming kunnen zijn als een datalek niet bij de AP of betrokkenen gemeld wordt. Stel daarom intern iemand aan bij wie datalekken gemeld kunnen worden en die vervolgens de afweging maakt of het lek bij de AP of betrokkenen gemeld moet worden.

In het kort: wat te doen om datalekken te voorkomen

  • Geef geen wachtwoorden, klantgegevens en toegang tot systemen aan derden, bijvoorbeeld aan zzp’ers die voor uw bedrijf werken of aan leveranciers. Zorg dat duidelijk is wie op welk moment toegang heeft.
  • Breng opdrachtgevers, nabestaanden en anderen van wie u gegevens verzamelt op de hoogte van welke gegevens u verzamelt en met welk doel.
  • Verwijder e-mails of bestanden die niet meer nodig zijn. In deze e-mails of bestanden staan vaak persoonsgegevens. Door een interne opschoonactie voorkomt u dat een datalek onnodig veel persoonsgegevens raakt.
  • Investeer in goede ICT-beveiliging van uw laptop, computer, telefoon en andere mobiele apparaten. Bijvoorbeeld door de harde schijf te versleutelen.
  • Houd software actueel. Installeer regelmatig updates en kijk of het automatisch installeren van updates een goede oplossing is.

Toch een datalek, wat nu?

Mocht u na het treffen van de nodige voorzorgsmaatregelen toch te maken krijgen met een datalek, volg dan de volgende stappen:

  • Bewaar rust, maar kom direct in actie!
  • Zorg voor overzicht op de situatie. Probeer zo snel mogelijk na te gaan wat er precies is gebeurd, welke persoonsgegevens zijn gelekt, wat de omvang van het datalek is en welke personen er mogelijk toegang hebben gehad tot de data. Naar aanleiding hiervan kunt u bepalen wat de vervolgacties zijn;
  • Schat de risico’s voor degenen waarvan de gegevens gelekt zijn in;
  • Beoordeel of het datalek wel of niet moet worden gemeld aan de AP - zie hieronder;
  • Beoordeel of het datalek wel of niet moet worden gemeld aan de betrokken personen - zie hieronder;
  • Registreer het datalek in uw datalekregister - zie hieronder.

Meldplicht datalekken

Uitgangspunt van de AVG is dat alle datalekken moeten worden gemeld bij de AP. Als een datalek een hoog risico met zich meebrengt voor de privacy van de betrokken nabestaanden en klanten, moet het datalek ook bij hen worden gemeld. Als het niet waarschijnlijk is dat het datalek een groot risico is voor de rechten en vrijheden van personen, dan hoeft een datalek niet gemeld te worden aan de AP.


  • De AP heeft een voorbeeldlijst van situaties waarin wel/niet een datalek moet worden gemeld.

Het doel van de meldplicht is het voorkomen van datalekken en, als die zich toch voordoen, het beperken van de gevolgen ervan voor de betrokkenen. Een datalek moet daarom zo snel mogelijk gemeld worden aan de AP, maar uiterlijk binnen 72 uur na de ontdekking.

Het niet melden van een datalek is een overtreding van de AVG. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing. De boete kan maximaal 20 miljoen euro bedragen of 4% van de wereldwijde jaaromzet. In de praktijk worden tot nu toe vooral grote organisaties die grove overtredingen begaan door de AP aangepakt.



Datalekregister

Organisaties zoals uitvaartondernemingen moeten een datalekregister bijhouden. Daarin moeten alle datalekken, dus niet alleen de meldingsplichtige, worden opgenomen. In het datalekregister moet de volgende informatie geregistreerd worden:

  • een korte omschrijving van het datalek;
  • wanneer het datalek plaatsvond;
  • wat er met de gegevens van het datalek is gebeurd;
  • hoeveel personen zijn getroffen;
  • de gevolgen van het datalek;
  • de getroffen maatregelen.

Privacyrechtelijke vragen of vragen over datalekken?

20210503 BGNU Wat doen als data lekken Omnius Juristen Anne van Glabbeek

Heeft u vragen over datalekken of heeft u andere privacyrechtelijke vragen? Neem dan contact op met Omnius Juristen:

  • Mevrouw mr. Anne van Glabbeek
  • Tel: 013-4689065
  • Email: a.vanglabbeek@omniusjuristen.nl

Omnius Juristen is kennispartner van BGNU. Dit heeft voor leden als voordeel dat Omnius Juristen een gereduceerd tarief rekent voor haar werkzaamheden. Omnius Juristen biedt een compleet pakket aan juridische diensten zodat u zich als uitvaartondernemer kunt richten op waar u goed in bent: nabestaanden helpen om een mooie uitvaart te organiseren.

Omnius Juristen heeft alle specialisaties onder één dak. Lees op deze pagina meer over de samenwerking tussen Omnius Juristen en BGNU.

Gerelateerde items

Verbeter de cybersecurity van uw uitvaartonderneming

Lees artikel
  • Datum: 31-08-2020
  • Omschrijving: Cybersecurity is belangrijk. Voorkom dat uw uitvaartonderneming een bron van datalekken is of schade ondervindt door internetcriminaliteit.
    Uit onderzoek blijkt dat cybercriminaliteit de Nederlandse bedrijven en overheid jaarlijks ongeveer tien miljard euro kost. Cybercrime is dan ook allang geen kwajongenswerk meer, maar een serieus risico dat alle ondernemers kan treffen. Toch zijn veel ondernemers zich niet bewust van de risico’s die zij lopen omtrent cybercriminaliteit. Lees hier hoe u uw uitvaartonderneming tegen cybercriminaliteit kunt wapenen.

Model AVG-verklaring

  • Datum: 14-05-2018
  • Omschrijving: Omnius Juristen heeft voor BGNU-leden een model AVG-verklaring, toegespitst op de uitvaartverzorging, ontwikkeld.
    Leden van BGNU kunnen dit model gebruiken bij de implementatie van de nieuwe privacyregelgeving.

Juridisch advies voor BGNU-leden

Lees artikel
  • Datum: 11-05-2018
  • Omschrijving: BGNU heeft speciaal voor haar leden tariefafspraken gemaakt met Omnius Juristen, voor eerstelijns vragen en telefonische helpdesk.

Cybersecurity in de uitvaartbranche

Downloaden
  • Datum: 06-06-2017
  • Omschrijving: In het pilotproject "cybersecurity in het MKB" is eind 2016 gekeken hoe BGNU-leden zich beveiligen tegen cybercriminaliteit.
    "Cybersecurity in het MKB" is een project van MKB-Nederland waaraan BGNU in het laatste kwartaal van 2016 heeft meegedaan. Het rapport van dit onderzoek treft u hier aan.

Test of de e-mail van uw uitvaartonderneming veilig is

Lees artikel
  • Datum: 23-07-2020
  • Omschrijving: Ook uitvaartondernemingen ontvangen en verzenden dagelijks vele e-mails. Het is niet vanzelfsprekend dat dit emailverbinding veilig is. En
    dat is wel belangrijk! De Veilige E-mail Coalitie heeft daarom een website ontwikkeld waar u gratis en snel kunt testen of uw emailverkeer optimaal beveiligd is.

Brochure “Slachtoffer van cybercrime” voor het mkb

  • Datum: 16-11-2018
  • Omschrijving: De politie heeft een brochure gemaakt over cybercriminaliteit. De brochure is specifiek voor het midden- en kleinbedrijf (mkb) geschreven.
    De brochure 'Slachtoffer van cybercrime?' is specifiek gericht op het midden- en kleinbedrijf (mkb). De politie geeft een beeld van verschillende vormen van cybercriminaliteit, wat aanwijzingen kunnen zijn dat u getroffen bent door cybercrime, en hoe u aangifte kunt doen en welke vragen u dan kunt verwachten. Ook worden tips gegeven om cybercrime te voorkomen.

Geheimhoudingsbeding arbeidsovereenkomst

  • Datum: 13-08-2018
  • Omschrijving: Elk bedrijf heeft bedrijfsgeheimen. In veel arbeidsovereenkomsten wordt daarom een geheimhoudingsbeding opgenomen.
    Lees hier waaraan u moet denken bij een goed geheimhoudingsbeding en hoe het gehandhaafd kan worden.

BGNU en ThreadStone Cyber Security B.V.

Lees artikel
  • Datum: 20-06-2018
  • Omschrijving: BGNU en Threadstone Cyber Security hebben een overeenkomst waardoor BGNU-leden 10% korting krijgen op informatiebeveiliging met Threadstone.