‘Autobedrijven onderschatten gevolgen Meldplicht Datalekken’

Redactie Redactie
• Laatste update:

Vanaf 1 januari 2016 moeten bedrijven binnen 72 uur melding maken van een lek in de database, bij het College Bescherming Persoonsgegevens (CBP). Wie dat niet doet, riskeert een boete die kan oplopen tot 820 duizend euro of 10 procent van de jaaromzet. De meldplicht is het resultaat van een wijziging in de Wet Bescherming Persoonsgegevens (WBP).

`Het gaat een keer goed mis.`
Zelfstandig automotive-jurist Steven Kuiper meent dat bedrijven nog veel te makkelijk met persoonsgegevens omgaan en benadrukt het belang van goede beveiliging van databestanden. “Het zal één keer flink misgaan met de bescherming van persoonsdata en daarna staat iedereen op scherp. Data zijn goud voor bedrijven, maar je moet er wel zorgvuldig mee omgaan.”

Bij de meldplicht gaat het erom dat verplicht gemeld moet worden als persoonsgegevens in handen komen van mensen en bedrijven die geen toegang tot die gegevens zouden mogen hebben. Een lek moet binnen 72 uur gemeld zijn bij het CBP, dat kan via een webformulier, en vervolgens aan de betrokkenen. 

`De aanlegger van de database is verantwoordelijk.`
Een lek kan voortkomen uit een beveiligingsprobleem, maar de overheid verstaat er ook oneigenlijk gebruik onder. Bijvoorbeeld als een bedrijf wordt ingehuurd om met de klantendata een mailing te versturen. Kuiper, ook actief in de privacywerkgroep van automotive datastichting Sims, vertelt dat bedrijven zelf verantwoordelijk worden gehouden als derden hun data verkeerd gebruiken. “Dat kan bijvoorbeeld een reclamebureau zijn dat je inhuurt. Als dit bureau misbruik maakt van de data of geen goede beveiliging voor de data geregeld heeft, ben je als aanlegger van die database verantwoordelijk.”
Omdat je als bedrijf de verantwoordelijkheid niet kunt verleggen, moet je goede afspraken maken, stelt Kuiper. “Daarom is de bewerkersovereenkomst nu hot, waarin staat dat de gebruiker van jouw data een lek direct aan jou meldt.” 

`Je moet interne processen vastleggen.`
Kuiper vreest dat bedrijven nu nog weinig actie ondernemen om de data beter te beschermen. “Het is verstandig om intern na te gaan welke data je als bedrijf in beheer hebt, welke daarvan betrekking hebben op personen en wie er allemaal toegang toe hebben. Als iemand zijn codes kwijtraakt, is er een reële kans op een datalek. Interne processen met betrekking tot persoonsgegevens moeten gestructureerd en vastgelegd worden.”

Privacy officer
Het is ook raadzaam om intern een draaiboek klaar te hebben liggen voor het geval een datalek wordt ontdekt, zegt Kuiper. “Het blijft niet bij deze meldplicht. In de loop van 2016 komt er ook een Europese verordening die bedrijven verplicht een privacy officer in dienst te hebben.”

Lees hier het artikel dat in juli in Automotive werd gepubliceerd over de bewustwording van klanten over hun persoonsgegevens.

In Automotive 11 lees je alles over de digitalisering van de autobranche.

Lees hier de whitepaper van Stichting Sims

Geplaatst in rubriek:
Redactie
Redactie

De redactie van Automotive is dagelijks op zoek naar het laatste nieuws uit de autobranche. Heeft u een tip voor ons? Stuur dan een mail naar redactie@automotive-online.nl, of bel 010 - 280 1000.