Iedereen kent wel het gevoel van paniek: u voelt in uw binnenzak en uw smartphone is weg. De paniek is extra groot als op het apparaat persoonsgegevens van klanten staan. Die liggen dan op straat. Maar denkt u er wel aan om dit direct te melden bij uw werkgever? Doet u dat niet, dan kan uw werkgever letterlijk een boete krijgen van miljoenen euro's.
Strenge regelgeving
De regels waaraan bedrijven zich bij de bescherming van persoonsgegevens moeten houden, worden steeds strenger. Nu al kan de Autoriteit Persoonsgegevens een boete tot maximaal 820.000 euro opleggen als een bedrijf het weglekken van persoonsgegevens niet meldt.
Dit bedrag valt in het niet vergeleken bij de boete die de Nederlandse privacywaakhond vanaf 25 mei 2018 kan opleggen. Op die dag vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) onze Wet bescherming persoonsgegevens. Met de AVG in de hand kan de AP boetes opleggen tot maximaal twintig miljoen euro of vier procent van de wereldwijde jaaromzet.
Wanneer melden?
Om een datalek te kunnen melden, moet de werkgever echter wel op de hoogte zijn van het lek. Voor de werkgever is het dus belangrijk dat medewerkers melding maken van ieder security-incident - of het nu gaat om een gestolen smartphone, een verloren USB-stick of een verkeerd geadresseerd e-mailtje.
In deze gevallen is het raadzaam om direct uw werkgever in te lichten:
1. Verlies van een USB-stick met persoonsgegevens
Door het kleine formaat gaat een USB-stick redelijk makkelijk verloren. Het overkwam bijvoorbeeld GGD IJsselland. De instantie verloor een USB-stick met daarop gevoelige informatie over een familie uit Balkbrug. Een pijnlijk incident waar de privacywaakhond zeker een melding van wilde ontvangen, evenals de betrokken familie.
2. Diefstal van een laptop
Na een etentje met collega’s blijkt dat de laptop gestolen is uit de kofferbak van de auto. Zeer vervelend, zeker als op die laptop persoonlijke informatie staat zoals naw-gegevens, geboortedata en klant- of patiëntnummers.
Bijvoorbeeld het Universitair Medisch Centrum Groningen kan hierover meepraten. Na diefstal van drie laptops lagen de gegevens van 1.400 patiënten op straat. Een medewerker die de diefstal van een laptop ontdekt, moet direct alarm slaan.
3. Verlies of diefstal van een tablet of smartphone
Verlies van een smartphone of tablet is al jaren een van de belangrijkste oorzaken van dataverlies. De gevolgen worden echter steeds ingrijpender. Vergeleken met enkele jaren geleden kunnen mobiele toestellen namelijk veel meer gevoelige gegevens opslaan en aanzienlijk meer vertrouwelijke data benaderen. Alle reden om de werkgever direct op de hoogte te stellen van verlies of diefstal.
4. Besmetting met malware
Bepaalde typen malware doorzoeken besmette apparaten op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen, wachtwoorden en creditcardgegevens, om deze vervolgens weg te sluizen naar een server die in handen is van de aanvaller.
In de visie van de Autoriteit Persoonsgegevens is er bij besmetting door ‘gijzelsoftware’ zelfs altijd sprake van een datalek. Heeft u dus op de laptop ‘van de baas’ last van ransomware of andere digitale problemen, trek dan meteen aan de bel.
5. Menselijke fouten
De meeste datalekken zijn het gevolg van menselijke fouten. Dan kan het bijvoorbeeld gaan om een verkeerd geadresseerde e-mail. Het overkwam de gemeente Amersfoort. Een ambtenaar stuurde een e-mail met daarin gevoelige gegevens van 1.800 burgers naar het verkeerde adres.
Het niet melden van dit incident leverde de nodige media-aandacht en politieke en maatschappelijke commotie op. Ook kon de gemeente rekenen op de warme belangstelling van de Autoriteit Persoonsgegevens.
6. Verlies van papieren documenten
In het huidige digitale tijdperk wordt vaak gedacht dat alleen digitale data kunnen lekken. Niets is minder waar. De wet verplicht bedrijven ook dat ze zuinig omspringen met papieren documenten die persoonsgegevens bevatten.
Als bijvoorbeeld een persoonlijk behandelplan per ongeluk blijft liggen in een wegrestaurant, is de kans groot dat ‘onbevoegden’ de gegevens inzien. Komt u er ’s avonds thuis pas achter dat u een papieren document met persoonsgegevens kwijt bent? Aarzel dan niet om dit direct te melden.
7. Vernietiging van persoonsgegevens
Een ander hardnekkig misverstand is dat de meldplicht datalekken alleen geldt als persoonsgegevens (vermoedelijk) in verkeerde handen zijn gevallen. Een bedrijf moet in sommige gevallen ook vernietiging van gegevens melden, ook als die niet zijn gelekt.
Bedenk wat de gevaren zijn van onder meer mobiel werken met verschillende apparaten en apps. Heeft een medewerker privé een malafide app geïnstalleerd of het apparaat per ongeluk in de trein achtergelaten? Dan loopt u het risico dat er gevoelige informatie op straat komt te liggen en bestaat de kans dat er sprake is van een datalek.
U kunt voorkomen dat uw ICT-afdeling geen zicht heeft op de beschreven situaties, onder andere door het inzetten van Mobile Device Management. Lees hier meer over in de whitepaper 'Medewerkers veilig mobiel dankzij Enterprise Mobility Management.' Met de juiste voorbereiding, alertheid en oplossingen voorkomt u hoge boetes.
Whitepaper: 'Uw medewerkers veilig mobiel'
Maak gebruik van mobiele apparaten veilig voor uw medewerkers en voorkom datalekken binnen uw organisatie. Lees er alles over in het whitepaper.
Download
