Geregeld komt in het nieuws voorbij dat door een datalek persoonlijke gegevens (zoals bankrekeningnummers of wachtwoorden) zijn buitgemaakt. Ook in de meubelbranche kan men daar mee te maken krijgen. Maar wat is een datalek precies? En wat moet men na ontdekking doen? Wij zetten het uiteen.
Elise Menkhorst, Evert van Gelderen en Armita Hosseini.
Wat is een datalek?
Het bekendste voorbeeld van een datalek is als er onbedoeld persoonsgegevens worden verstrekt of daartoe toegang wordt gegeven. Bijvoorbeeld als documenten met gegevens over medewerkers per abuis in de trein worden vergeten of als een e-mail met een lijst van klanten wordt verzonden aan iemand waarvoor deze niet bedoeld is.
Daarnaast is sprake van een datalek als persoonsgegevens verloren gaan (zoals door vernietiging) of worden gewijzigd terwijl dat niet de bedoeling was. Soms gebeurt dat op onrechtmatige wijze, zoals in het geval van een hack waarbij gegevens worden versleuteld. Maar als een medewerker per ongeluk een map verwijdert met klantgegevens en er is geen back-up gemaakt, dan valt dat ook onder de definitie. Ook daardoor kunnen de betrokken personen schade lijden, zo is de gedachte.
Er is dus veel eerder sprake van een datalek dan vaak gedacht wordt.
Melden datalek
Niet alle datalekken hoeven te worden gemeld. Of er sprake is van een meldplicht volgens de AVG (Algemene verordening gegevensbescherming) hangt af van de waarschijnlijkheid van het risico voor de rechten en vrijheden van natuurlijke personen. Een onderneming dient deze inschatting zelf te maken.
Als een woonwinkel een nieuwsbrief verstuurt over de nieuwe collectie waarbij alle abonnees zichtbaar in het aan-veld staan in plaats van in de bcc, dan levert dat wel een datalek op maar zal het waarschijnlijk niet meldplichtig zijn. Dat is anders als het meubilair bedoeld is voor mensen met een lichamelijke beperking.
Als een datalek gemeld moet worden, moet dit uiterlijk binnen 72 uur na ontdekking gebeuren. Dat kan via het meldformulier datalekken op de website van de AP (Autoriteit Persoonsgegevens).
Informeren van betrokkenen
Daarnaast kan er sprake zijn van een plicht om de betrokkenen over het datalek te informeren. Die verplichting geldt als het datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Van een hoog risico is sprake als het datalek kan leiden tot lichamelijke, materiële of immateriële schade. Als voorbeelden noemt de AP (identiteits)fraude, financiële schade en reputatieschade.
Als de betrokkenen worden geïnformeerd, kunnen zij de nodige voorzorgsmaatregelen nemen. Zoals het wijzigen van wachtwoorden.
Interne registratie datalek
Of een datalek nu gemeld moet worden aan de AP of niet, een onderneming is in alle gevallen gehouden om zelf registratie te maken van een datalek in het interne datalekregister. Ook binnen de
meubelbranche zijn alle ondernemingen op grond van de AVG verplicht om zo’n register bij te houden met ernstige en minder ernstige datalekken.
Boetes
Als er niet (tijdig) wordt gemeld, dan kan dat tot forse boetes leiden. De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Zo legde de AP Booking.com een boete op van maar liefst € 475.000 omdat zij een melding 22 dagen te laat had ingediend. Criminelen maakten toen de gegevens van meer dan 4.000 klanten buit, inclusief de creditcardgegevens van bijna 300 slachtoffers. De PVV Overijssel kreeg een boete opgelegd van € 7.500 omdat zij helemaal geen melding had gemaakt van een datalek. Door een fout waren de e-mailadressen (en daarmee meestal de namen) van de geadresseerden zichtbaar voor iedereen die een uitnodiging voor een bijeenkomst ontving. De AP kwam achter deze schending van de meldplicht nadat zij van één van de geadresseerden een klacht had ontvangen. Volgens de AP was de schending extra kwalijk omdat het ging om gevoelige informatie over politieke opvattingen.
Het kan dus gaan om serieuze bedragen. Zelf hebben wij nog wel een verlanglijstje met meubels waar wij het geld liever aan zouden besteden…
© 2021 Clairfort®
Deze bijdrage werd voor Wonen360 geschreven door Evert van Gelderen, Armita Hosseini en Elise Menkhorst van Clairfort advocaten. Dit kantoor houdt zich bezig met rechtsgebieden die relevant zijn voor partijen in de meubelbranche, zoals de bescherming en het handhaven van intellectuele eigendomsrechten, het opstellen van overeenkomsten, reclamerecht, privacy, arbeidsrecht, vastgoed, ondernemingsrecht en mededingingsrecht.