Het recente datalek bij Odido en andere bedrijven laat opnieuw zien hoe groot de impact van een datalek kan zijn wanneer persoonsgegevens in verkeerde handen terechtkomen. Voor ondernemers is dat een belangrijk signaal. Een datalek schaadt niet alleen het vertrouwen van klanten, maar brengt ook directe juridische verplichtingen met zich mee. Zodra klantgegevens op straat liggen, moet u beoordelen wat er is gebeurd, welke persoonsgegevens zijn betrokken en of u op grond van de AVG verdere actie moet ondernemen.
Wanneer is er sprake van een datalek?
Van een datalek is sprake wanneer persoonsgegevens verloren raken of toegankelijk worden voor onbevoegden. Dat kan het gevolg zijn van een hack, maar ook van een menselijke fout, zoals een verkeerd verzonden e-mail, een onbeveiligd bestand of documenten die met de verkeerde persoon worden gedeeld. Juridisch draait het om dezelfde vraag: zijn persoonsgegevens onbedoeld bij anderen terechtgekomen?
Wat moet u doen bij een datalek?
Wanneer klantgegevens op straat liggen, is snel en zorgvuldig handelen noodzakelijk. U moet vaststellen om welke gegevens het gaat en wat de mogelijke gevolgen zijn voor de betrokken personen. Op basis daarvan beoordeelt u of sprake is van een meldplicht onder de AVG. In veel gevallen bent u verplicht het datalek te melden bij de Autoriteit Persoonsgegevens en soms ook bij de betrokken klanten. Daarnaast geldt dat u het incident altijd intern moet vastleggen in het datalek register van uw organisatie.
Handelt u niet juist of te laat, dan kan dat leiden tot sancties, claims, aansprakelijkheid of reputatieschade. Juist daarom is het belangrijk dat u weet wat uw verplichtingen zijn.
Een datalek kan iedere ondernemer overkomen
Veel ondernemers denken bij een datalek vooral aan grote bedrijven, maar iedere organisatie die persoonsgegevens verwerkt, kan hiermee te maken krijgen. Het is daarom verstandig om niet pas na een incident na te denken over uw verantwoordelijkheden, maar vooraf helder te hebben wat juridisch geregeld moet zijn.
Wat kunt u vooraf al regelen?
Een datalek wilt u uiteraard voorkomen, maar het is ook verstandig om vooraf duidelijke juridische afspraken te maken. Denk aan bepalingen in uw overeenkomst, algemene voorwaarden of verwerkers overeenkomst over verantwoordelijkheid, meldplicht, samenwerking en aansprakelijkheid. Zo voorkomt u onduidelijkheid en staat u sterker als er toch iets misgaat.
Meer weten over uw verplichtingen?
Wilt u zeker weten dat uw overeenkomsten, voorwaarden en verwerkers overeenkomst aansluiten op de risico’s van een datalek? Juresta helpt u hier graag bij.