Met de invoering van de nieuwe meldplicht datalekken is het voor organisaties nog belangrijker geworden om persoonsgegevens te beveiligen. De boete die de Autoriteit Persoonsgegevens kan opleggen bij datalekken gaat vanaf mei 2018 (als de AVG van toepassing wordt en de Wbp verdwijnt) fors omhoog.
Situatie boetes onder Wet bescherming persoonsgegevens
De Wet bescherming persoonsgegevens geldt in Nederland nog tot 25 mei 2018. Tot die tijd zijn de boetes die de Autoriteit Persoonsgegevens mag opleggen ook al niet mis: de maximale boete is 820.000 euro voor overtredingen van de privacywetgeving. Het verzuimen van het melden van een datalek kan leiden tot een boete van 900.000 euro.
Vanaf 25 mei 2018: AVG en hogere boetes
Binnenkort, vanaf 25 mei 2018, zal de wetgeving rondom meldplicht datalekken veranderen als de Europese privacywetgeving van toepassing wordt. Deze Algemene verordening gegevensbescherming biedt ruimte om hogere boetes op te leggen, tot wel vier procent van de jaaromzet per overtreding of twintig miljoen euro.
Datalek maar toch geen boete?
Om datalekken te voorkomen neem je als organisatie technische en organisatorische maatregelen. Maar, hoeveel je ook doet, er blijft altijd een risico op een datalek. Wanneer er sprake is van een ernstig datalek, betekent dit niet automatisch dat er een boete zal volgen. De Autoriteit Persoonsgegevens zal het lek beoordelen en neemt daarin mee welke acties de organisatie ondernomen heeft om persoonlijke gegevens te beschermen. De boete zal lager zijn of zelfs niet gegeven worden, als organisaties kunnen aantonen dat er voldoende maatregelen getroffen zijn om de risico’s zo klein mogelijk te houden.
Voorkom een datalek: neem maatregelen
Natuurlijk wil je als organisatie het risico op een datalek zo klein mogelijk maken. Daarom is het nodig om zowel technische als organisatorische maatregelen te nemen. Bij technische maatregelen kun je bijvoorbeeld denken aan encryptie en krachtige data security oplossingen. Daarnaast is het zeker zo belangrijk om aandacht te schenken aan de organisatorische kant. Denk bijvoorbeeld aan medewerkers die USB-sticks laten slingeren, het goed in kaart brengen van gegevensstromen en het aanwijzen van een functionaris gegevensbescherming.