Meldplicht Datalekken, ook voor webwinkels en bijbehorende dienstverleners

Vanaf 1 januari geldt de zogenaamde Meldplicht Datalekken. Maar wat is een datalek nou eigenlijk? Moet een datalek altijd gemeld worden? En moeten de getroffen personen daarnaast ook nog altijd op de hoogte gesteld worden?

De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. Kortom: een vrij brede definitie.

Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld) telt al als datalek. En zelfs verlies van gegevens zoals bij een brand in het datacentrum terwijl er geen back-up beschikbaar is, ziet de wet als een datalek.

U dient als webwinkel, maar ook als toeleverancier, zoals hostingdienstverlener, datacenter etc. preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen. Dit kan bijvoorbeeld door gebruik te maken van encryptietechnieken.

Er zijn verschillende verplichtingen aangaande het melden zelf. Een melding moet enerzijds gedaan worden aan de Toezichthouder (CBP), en anderzijds aan de betrokkene (persoon van de wie de gegevens zijn gelekt).

Daarnaast maken webshops veel gebruik van de diensten van derden. Bij deze diensten worden persoonsgegevens verwerkt namens de webwinkel (verantwoordelijke), door een andere partij (bewerker). Dat kan een hostingdienst of een datacenter zijn, maar denk daarbij ook aan mailproviders (ook “nieuwbriefprogramma’s”) of aanbieders van een standaard webwinkelplatform. De verhouding tussen shop en dienstverlener moet uitgewerkt worden in een bewerkersovereenkomst.

Met de Meldplicht Datalekken moet in deze overeenkomst het nodige worden aangepast, of als er nog geen overeenkomst is, is het nu tijd deze op te (laten) stellen. Een bewerker is in beginsel namelijk niet de partij die een lek moet melden, omdat de webwinkel verantwoordelijk is. Wel moeten beide partijen elkaar ondersteunen bij een lek, wat in een overeenkomst nader uitgewerkt moet worden.

Er zijn nog meer aandachtspunten die uit de nieuwe regels voortvloeien. Wilt u alles weten over de meldplicht en wat dat nu precies betekent, klik dan hier voor onze factsheet. Ook zullen wij op sommige punten middels deze blog op een aantal punten nog verder ingaan.

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.

 

Terug naar overzicht