Wat betekent de meldplicht datalekken voor uw webwinkel?

Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Zonder je te vermoeien met de exacte wetteksten, komt het erop neer dat je verplicht bent belangrijke datalekken te melden bij de autoriteit persoonsgegevens. Een dwingende verplichting en het is een strafbaar feit als je het niet doet. Maar, wat is een datalek eigenlijk? En heeft dat ook betrekking op jouw webwinkel? We kijken er naar in deze blog.

Wat is een datalek?

Een datalek is iedere gebeurtenis waarbij persoonlijke gegevens (van bijvoorbeeld klanten of medewerkers) die je beheert in je IT systemen, worden gestolen, verminkt of vernietigd. Het is een datalek als persoonsgegevens van klanten uit je database worden gekopieerd. Maar ook als gegevens niet zijn gekopieerd, maar door bijvoorbeeld een hacker zijn gewijzigd of vernietigd, is dat een datalek.

Vaak zal een datalek het gevolg zijn van een IT beveiligingsprobleem. Maar het bestaan van zo’n beveiligingslek betekent nog niet direct dat er ook sprake is van een datalek. Pas als bij zo’n beveiligingsprobleem niet kan worden uitgesloten dat persoonlijke gegevens zijn gekopieerd, gewijzigd of vernietigd, noemen we het daadwerkelijk een datalek. Dat beperkt zich overigens niet tot computers en netwerken. Ook een verloren usb stick met onversleutelde persoonsgegevens vormt zo’n datalek.

Wat moet ik doen bij een datalek?

Dat hangt er vanaf. We willen natuurlijk voorkomen dat iedere verloren telefoon waarop een lijstje met bezorgadressen van de plaatselijke bakker staat, moet worden gemeld bij de autoriteit persoonsgegevens. Daarom zijn er wat praktische richtlijnen opgesteld (link ). Daarmee kun je bepalen of de meldplicht in jouw geval van toepassing is. Het uitgangspunt van de Autoriteit Persoonsgegevens is dat je een datalek alleen hoeft te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als er een aanzienlijke kans bestaat dat dit gebeurt.

Zo zal een webwinkel met een algemeen assortiment (zoals boeken, kleding of elektronica) het verlies van een adressenlijst van haar nieuwsbrief niet hoeven melden. Dat wordt al anders als het assortiment van een webwinkel iets zegt over iemand’s persoonlijke levenssfeer, gezondheidssituatie of levensovertuiging. Zaken die hij of zij misschien liever niet openbaar maakt. Melden is ook nodig als het niet alleen de adressenlijst betreft, maar bijvoorbeeld ook de onversleutelde creditcard gegevens. De checklists in de genoemde richtlijn helpen je bepalen wat je bij een onverhoopt datalek in jouw geval moet doen.

Ook online zijn natuurlijk voorbeelden te vinden van datalekken in de praktijk. Zo waarschuwde een bekende webwinkel haar klanten eerder dit jaar voor een datalek. Daarbij konden door een fout in de firewall instellingen klantgegevens worden gekopieerd. Het lek betrof namen, adressen, e-mailadressen, versleutelde wachtwoorden en de bestelhistorie van klanten. Er werden geen financiële gegevens gestolen, omdat de betalingen via een ander systeem werden afgehandeld. Wel werden de gegevens gebruikt om klanten phishing mails te sturen.

Krijg ik een boete bij een datalek?

Hoewel er volgens de wet aanzienlijke boetes kunnen worden uitgedeeld – boetes tot ruim 800.000 euro zijn mogelijk – is het uitgangspunt redelijk. Als je niet moedwillig een datalek hebt veroorzaakt en er ook geen sprake is van ‘ernstig verwijtbare nalatigheid’, dan zal er in eerste instantie geen sprake zijn van een boete. En mocht je een boete krijgen, dan is die ook gerelateerd aan de omvang en impact van het datalek. Uitgangspunt is dat je op een verantwoordelijke manier moet omgaan met persoonsgegevens die je beheert in je IT systemen. Als je dat weloverwogen doet en er gaat onverhoopt toch iets mis, zal ook je schade beperkt blijven.

Wat kan ik doen om een datalek te voorkomen?

Een datalek helemaal voorkomen kun je nooit. Toch is het overgrote deel van de datalekken te voorkomen door je gezond verstand te gebruiken. Door na te denken met wat er binnen jouw webwinkel gebeurt met persoonsgegevens, waar ze worden opgeslagen en wie er bij kunnen. Stel jezelf bijvoorbeeld de volgende vragen:

  • Moet iedereen die nu toegang heeft, ook daadwerkelijk bij deze gegevens kunnen?
  • Zwerven er kopieën van de gegevens rond binnen het bedrijf?
  • Is de toegang tot de databases beveiligd, maar staat de backup gewoon op een open server?

Door je IT systemen, netwerken en beveiliging regelmatig na te lopen en up-to-date te houden, voorkom je dat iemand gebruik kan maken van een bestaand veiligheidsrisico om je webwinkel gegevens te stelen.