Door de gezamenlijke dekens is als één van de speerpunten voor het jaar 2017, Privacy en gegevensbeveiliging aangenomen.
De steeds scherpere (Europese) regelgeving op het terrein van de bescherming van persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking, alsmede de consequenties in geval van een datalek is mede de aanleiding tot het aannemen van dit speerpunt.
De Wet Bescherming Persoonsgegevens (Wbp) bevat thans nog de van toepassing zijnde regelgeving. Deze zal per 25 mei 2018 worden vervangen door de Algemene Verordening Gegevensbescherming (AVG).
Persoonsgegevens zijn alle gegevens op basis waarvan kan worden achterhaald om welke persoon het gaat. Dat zijn dus niet alleen de gegevens aan de hand waarvan men een persoon direct kan identificeren, zoals de NAW-gegevens en BSN, maar tevens foto’s, berichten op sociale media, e-mailberichten en in dossiers opgenomen gegevens. Kortom, het gaat om alles wat maar in enige zin naar een persoon verwijst en waarmee die persoon kan worden geïdentificeerd.
Verwerking van dit soort persoonsgegevens leidt tot zorgplichten op het gebied van cybersecurity. Het is op grond van de Wbp verplicht om persoonsgegevens te beveiligen tegen verlies. Verlies van persoonsgegevens kan worden beschouwd als een datalek.
Voor advocaten moet gedacht worden aan de volgende datalekken (niet limitatief):
- Verlies of diefstal van dossiers,
- Verlies of diefstal van draagbare apparaten waarop persoonsgegevens staan vermeld, zoals telefoons, laptops, tablets, USB-sticks, dictafoons met bestanden die naar een identificeerbaar persoon leiden etc.
- Emailberichten die tot een natuurlijk persoon te herleiden gegevens bevatten en die aan een onjuist emailadres worden verzonden, waardoor ze onbedoeld bij een ander terecht komen, maar ook berichten die door het gebruik van de ‘cc of ‘bcc optie onbedoeld voor een ander beschikbaar komen. Zelfs verzending van een emailbericht waarbij de emailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden kan als een datalek worden beschouwd.
- (Uiteraard) gegevens die als gevolg van “hacken” van informatiesystemen door derden zijn verkregen.
In veel gevallen zal het opgetreden datalek moeten worden gemeld, niet alleen aan de Autoriteit Persoonsgegevens (AP), maar ook aan de betrokkenen. Uitgangspunt blijft dat sprake moet zijn van het ter beschikking komen van persoonsgegevens. Het niet melden waar dat wel had gemoeten kan leiden tot het door de AP opleggen van boetes.
De website van de AP (www.autoriteitpersoonsgegevens.nl) bevat, naast algemene informatie, een digitaal meldloket, alsmede een verwijzing naar de beleidsregels meldplicht datalekken. Aan de hand van deze beleidsregels kan worden bepaald of er sprake is van een datalek dat moet worden gemeld bij de AP en eventueel aan de betrokkenen.
De gezamenlijke dekens achten het van belang dat u bekend bent met aankomende wijzigingen in de regelgeving over gegevensbescherming. Daarnaast is het van belang dat u bekend bent met datalekken en het zoveel mogelijk voorkomen daarvan. U wordt aangeraden te onderzoeken of u voldoende verzekerd bent voor cyberrisico’s. Deze risico’s vallen namelijk niet bij alle verzekeraars automatisch onder de beroepsaansprakelijkheidsverzekering. U kunt zich daarvoor apart verzekeren.
De dekens besteden aan deze onderwerpen extra aandacht tijdens de kantoorbezoeken.
Meer informatie:
De website van de Autoriteit Persoonsgegevens.
Een handreiking voor bedrijven op het gebied van cybersecurity uitgebracht door de Cyber Security Raad.
De website van de Nederlandse orde van advocaten.
De website van de CCBE over de AVG.