Column


IT-jurist Peter van Schelven over...

Datalekken & het verkeerde been

Voor je het doorhebt, berooft de privacywet je wellicht al snel van jouw wijsheid. Kijk maar eens naar de spelregels over de meldplicht datalekken, die per begin 2016 in de Wet bescherming persoonsgegevens (Wbp) zijn opgenomen. Ook in de Algemene Verordening Gegevensbescherming (AVG), waar jouw organisatie over pakweg een jaar aan dient te voldoen, zijn verplichtingen tot het melden van ernstige datalekken opgenomen.

Wat is het probleem met die wettelijke spelregels? Als je de Wbp en de AVG erop naslaat, dan valt op dat ernstige datalekken slechts hoeven te worden gemeld bij de toezichthouder – in Nederland is dat de Autoriteit Persoonsgegevens – en bij de burgers waarop de gelekte data betrekking hebben. De wettelijke verplichtingen gaan niet verder dan die kring.

In mijn contacten met (aankomende) privacyprofessionals van bedrijven en organisaties merk ik meer dan eens dat niet nagedacht wordt over de vraag of het verstandig is ook andere kringen van belanghebbenden te betrekken in de melding van een ernstig datalek. Wie alleen de wet als uitgangspunt neemt, wordt dus al snel op het verkeerde been gezet. En dat is jammer, want wijsheid zou het toch moeten winnen van het blind volgen van de privacywet?

Stakeholders
Als juridisch adviseur van bedrijven neem ik bij het ontwikkelen van een beleid en aanpak van datalekken vrijwel nooit de wet als uitgangspunt, maar een inventarisatie van ‘stakeholders’. Centraal staat dan de vraag: wie zouden wij als bedrijf of organisatie willen informeren als we onverhoopt te maken krijgen met een ernstig datalek? Het maken van zo’n inventarisatie is min of meer maatwerk. De kring van belanghebbenden blijkt niet zelden aanzienlijk omvangrijker te zijn dan die waarop de privacywetgeving slechts het oog heeft. Iedere belanghebbende moet vervolgens een plek in het op te stellen datalekkenprotocol of het draaiboek over de afwikkeling van datalekken krijgen.

Eerst een voor de hand liggend voorbeeld. Wie de financiële risico’s van een datalek bij een verzekeraar heeft ondergebracht, zal uiteraard zijn verzekeraar of de betrokken tussenpersoon onverwijld moeten inlichten. Doe je dat niet of niet tijdig, dan stel je je bloot aan het risico dat dekking wordt onthouden. Een goede privacyprofessional stelt zich van tevoren op de hoogte van de verzekeringen die in huis zijn. De verzekeraar is een relevante stakeholder.

Commissarissen
Andere voorbeelden. Heb je als bedrijf een raad van commissarissen die toezicht houdt op de handel en wandel van de directie, dan kan het zeer verstandig zijn ook die in een zo vroeg mogelijk stadium te informeren over ernstige datalekken of over security-incidenten. Een goede commissaris maakt daarover passende afspraken met de directie. Een commissaris die dit nalaat, schiet al snel tekort in zijn toezichthoudende taak, zeker als het een bedrijf of organisatie betreft waar datalekken ernstige gevolgen kunnen hebben. Hetzelfde geldt voor raden van toezicht bij stichtingen, en dergelijke.

De directie van een bedrijf kan ook besluiten aandeelhouders of externe geldschieters te berichten. Aan een datalek kunnen immers wellicht grote financiële gevolgen zitten en ook dat noopt ertoe om op voorhand na te denken over de vraag of ook deze partijen geïnformeerd moeten worden. In omvangrijke financieringscontracten worden daarover steeds vaker afspraken gemaakt.

Betrokken burgers
Een praktisch knelpunt bij het melden van datalekken aan burgers, is dat het niet altijd 1-2-3 duidelijk is welke burgers precies bij het incident betrokken zijn. Als u een database met bijvoorbeeld tweeduizend patiënten hebt en door een menselijke fout komen de gezondheidsgegevens van circa achthonderd patiënten op straat te liggen, dan staat u voor de wellicht lastige of zelfs onmogelijke taak om de betrokken achthonderd personen precies te identificeren. Van wie liggen de data op straat en van wie niet?

De Wbp en AVG verplichten u de bij het datalek betrokken patiënten op de hoogte te stellen. Het datalek kan echter ook onrust bij de niet getroffen 1200 patiënten veroorzaken. Stelt u die personen daarom ook van het datalek op de hoogte, ook al verplicht de privacywetgeving u niet dat te doen? Over dit soort afwegingen moet u – als u met wijsheid wenst te handelen – van tevoren goed nadenken. Dat vraagt om een proactieve opstelling.

Nog een voorbeeld uit de publieke sfeer. Stel dat binnen het gemeentelijk apparaat een ernstig datalek wordt veroorzaakt. De privacywet verplicht het college van B en W om dit bij de toezichthouder en de betrokken burger te melden, dus niet aan de gemeenteraad. Toch kan het college veel kou uit de lucht wegnemen als ook de gemeenteraad zo spoedig mogelijk wordt geïnformeerd. Toen de gemeenteraad van Amersfoort ooit geconfronteerd werd met een niet gemeld datalek, kostte het de wethouder van die gemeente bij haar verantwoording in de gemeenteraad bijna haar kop. Dus: de gemeenteraad is een belangrijke stakeholder.

Handel met verstand
Kortom, het is verre van verstandig om je bij het maken van een datalekkenbeleid uitsluitend door de wet te laten leiden. Concentreer je primair op de vraag wie echt jouw stakeholders zijn. De betrokken burgers en de Autoriteit Persoonsgegevens behoren daartoe, maar zijn misschien niet eens de belangrijkste.

Denk niet alleen aan de voorbeelden die ik reeds noemde, maar ook aan mogelijke andere partijen zoals uw eigen personeel, al uw klanten, gelieerde zusterbedrijven, uw moedermaatschappij, het hoofdkantoor, samenwerkingspartners, ondernemingsraden, uw communicatieadviseurs, de pers en betrokken overheidsinstanties. Inventarisatie van uw stakeholders is een noodzakelijke eerste stap om mogelijke ellende rondom datalekken van uw lijf te houden.


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over