THEMA

BELASTINGDIENST VERWISSELT CD-ROMS; EEN MOGELIJK DATALEK?

Mogelijk datalek

De Belastingdienst meldde ook in de brief dat vijf dagen daarvoor, naar aanleiding van deze verwisseling, melding is gemaakt van een mogelijk datalek naar de Autoriteit Persoonsgegevens (AP). De Belastingdienst heeft u dus laten weten dat zij niet kunnen uitsluiten, dat persoonsgegevens en financiële gegevens bij de verkeerde intermediairs terecht zijn gekomen. De klanten zijn volgens diezelfde brief niet rechtstreeks geïnformeerd over dit mogelijke datalek.

Melding maken AP

In het kader van de Wet bescherming persoonsgegevens bent u namelijk degene die verantwoordelijk is voor de juiste verwerking en bescherming van de (bijzondere) persoonsgegevens van uw klanten. Het is uw verantwoordelijkheid om de betrokkenen (uw klanten) binnen 72 uur te informeren in het geval er sprake is van een datalek, waarvan de gevolgen waarschijnlijk ongunstig zijn voor de persoonlijke levenssfeer. Dit geldt met name voor gegevens die in de categorie (bijzondere) persoonsgegevens vallen. U moet een melding maken wanneer deze verloren zijn gegaan en/of waarbij onrechtmatige verwerking redelijkerwijs niet uit te sluiten is. Naast de verplichting van het informeren van de betrokkenen, moet u ook melding doen bij de Autoriteit Persoonsgegevens van een datalek. Dit is ook van toepassing als die gegevens op een verloren laptop, USB-stick of cd-rom staan, of als u gehackt bent.

Bewerkersovereenkomst

Om uw verplichting na te komen, moet u natuurlijk wel op de hoogte zijn van het mogelijke datalek. U zult dus moeten afdwingen dat de ketenpartner (leverancier) aan u meldt dat er een datalek heeft plaatsgevonden. Dit legt u vast in een bewerkersovereenkomst. Hierin spreekt u ook de termijn af die de leverancier heeft om bij u te melden. Deze moet u zo vaststellen dat u genoeg tijd heeft om aan de gestelde 72 uur te voldoen. Ook moet u vastleggen hoe de leverancier bij u gaat melden en welke stappen er genomen worden om het datalek op te lossen. Uw leverancier op zijn beurt sluit weer zijn overeenkomsten af met zijn ketenleveranciers indien dat nodig is.

Afspraken bewerkersovereenkomst

De bewerkersovereenkomst gaat niet alleen over de reactietijden en meldingen. U moet in deze overeenkomst ook andere afspraken vastleggen, zoals:
  • het doel van de bewerking;
  • recht op controle en audit;
  • adequate beveiliging;
  • geheimhouding en toegang;
  • inschakeling derden;
  • teruggave, bewaar- en vernietigingsplicht;
  • incidentrapportage en inhoud van de rapportage;
  • algemene voorwaarden, aansprakelijkheid en overmacht.

Eindverantwoordelijkheid niet weerleggen

Dit maakt de bewerkersovereenkomst cruciaal onderdeel van de afspraken met uw leveranciers. U mag en kunt de eindverantwoordelijkheid niet verleggen naar uw leveranciers, omdat u wettelijk gezien verantwoordelijk blijft voor de beveiliging van de data die u verzameld heeft ongeacht waar deze bewerkt of gehouden wordt. Het uiteindelijke doel van een bewerkersovereenkomst is de bescherming van de persoonlijke levenssfeer, conform de grondwet. De wetgever heeft daarom ook ingezet op een strakke handhaving, ondersteund met hoge boetes en bestuurlijke aansprakelijkheid.

In-house workshops

Nextens ontwikkelt samen met Factor50 een in-house workshop om te voldoen aan de aangescherpte Wet bescherming persoonsgegevens en de meldplicht datalekken, waar de bewerkersovereenkomst onderdeel van is. In september zullen wij u hierover aanvullend informeren. Daarnaast zal Factor50 aanwezig zijn op onze jaarlijkse Klantendag.