Home > Kennisbank > Privacyrecht > Datalek of privacyschending
Datalek of privacyschending: wie is verantwoordelijk?
Datalekken en privacyschendingen zijn serieuze kwesties die voor elk bedrijf grote gevolgen kunnen hebben, en daarmee ook voor bedrijven in de creatieve sector. Maar wie is verantwoordelijk wanneer er iets misgaat? En wat moet je doen in geval van een datalek of privacyclaims van betrokkenen?
Wat is het verschil tussen de verwerker en de verwerkings-verantwoordelijke?
De verwerkingsverantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, waarom dat gebeurt, en hoe dat precies in zijn werk gaat. Dit is vaak de organisatie of het bedrijf dat de gegevens verzamelt, zoals een webshop die klantgegevens opslaat voor bestellingen of een designer die de opdracht tot verwerking geeft aan een drukkerij. Als verwerkings-verantwoordelijke ben je doorgaans eindverantwoordelijk, als er iets misgaat.
De verwerker is degene die in opdracht van de verwerkings-verantwoordelijke persoonsgegevens verwerkt. Dit is meestal een externe dienstverlener die in opdracht van jouw bedrijf gegevens opslaat of gebruikt, zoals een drukkerij, een magazijnhouder of een ander bedrijf waarmee je samenwerkt. De verwerker handelt altijd volgens de instructies van de verwerkingsverantwoordelijke en mag de gegevens niet voor eigen doeleinden gebruiken.
Let op: Wanneer je - ongeacht jouw rol bij de verwerking - samenwerkt met een ander bedrijf en jullie allebei een rol spelen in de verwerking van persoonsgegevens, dan zijn jullie verplicht om de wederzijdse verplichtingen met betrekking tot de verwerking vast te leggen in een verwerkersovereenkomst.
Wat moet je doen in geval van een datalek of schending van persoonsgegevens?
Wanneer er sprake is van een mogelijk datalek of een schending van persoonsgegevens, moeten zowel de verwerkingsverantwoordelijke als de verwerker direct actie ondernemen. Het is belangrijk om allereerst een inschatting te maken van wat er precies is gebeurd en om de omvang van het datalek of de schending te beoordelen. Hierbij moet je denken aan vragen als: Welke gegevens zijn gelekt? Hoeveel mensen zijn getroffen? Wat is de mogelijke impact?
Van een datalek is sneller sprake dan je denkt. Er hoeft niet per se sprake zijn van hacking, phishing of andere cyberaanvallen. Bijvoorbeeld als je een mail aan meerdere ontvangers verstuurt, waarbij iedereen in de cc staat in plaats van in de bcc. Of wanneer je je laptop kwijtraakt, waarop veel klantgegevens - en dus ook (gevoelige) persoonsgegevens zijn opgeslagen. Is er sprake van een datalek? Dan moet je waarschijnlijk een melding ervan doen.
Datalekmelding en informeren betrokkenen
Als verwerkingsverantwoordelijke ben je verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens (AP) binnen 72 uur na ontdekking, tenzij het onwaarschijnlijk is dat het lek nadelige gevolgen heeft voor de betrokkenen. Dit moet per geval worden beoordeeld. Wanneer het datalek een hoog risico vormt voor de rechten en vrijheden van de betrokkenen, moet je de betrokkenen zelf ook direct informeren. Dit kan per mail aan de betrokkenen wiens gegevens zijn gelekt of geschonden.
De verwerker heeft geen directe meldplicht naar de AP, maar is wel verplicht om de verwerkingsverantwoordelijke onmiddellijk te informeren zodra hij een datalek ontdekt. Dit stelt de verwerkingsverantwoordelijke in staat om tijdig de benodigde stappen te ondernemen. Doet de verwerker dit niet en kan de verwerkingsverantwoordelijke hierdoor niet snel genoeg actie ondernemen? Dan kan de verwerker aansprakelijk zijn voor de eventuele schade die de verwerkingsverantwoordelijke heeft geleden.
Hi, ik ben Chiara!
Ik ben een creatieveling, net zoals jij! Ik help jou bij het voorkomen van conflicten door het veiligstellen van jouw rechten en het vastleggen van duidelijke afspraken.
Tip: Heb je hulp nodig bij het beoordelen van het datalek en de verplichting om melding ervan te doen? Of wil je de schade verhalen op de verwerker die niet snel genoeg heeft gereageerd? Dan help ik je graag verder door het afhandelen van het datalek of het schrijven van een sommatiebrief aan de verwerker.
Beperken van de schade
Het is belangrijk om verdere schade van betrokkenen te beperken. Dit kan betekenen dat je systemen (beter) moet beveiligen, wachtwoorden moet resetten of zelfs moet overwegen om diensten tijdelijk stil te leggen. Communiceer duidelijk met alle betrokkenen, inclusief klanten en andere stakeholders, over de stappen die je onderneemt om de situatie onder controle te krijgen. Ook dit kan per mail.
Wat kun je doen in geval van claims van betrokkenen?
Bij een datalek of privacyschending kunnen betrokkenen, bijvoorbeeld klanten, medewerkers of andere relaties, hun rechten uitoefenen en een claim indienen. Een betrokkene kan bijvoorbeeld een sommatiebrief sturen waarin hij of zij schadevergoeding eist vanwege het datalek of een andere schending van de privacy. Het is belangrijk om deze brief serieus te nemen en te beoordelen of de claim gegrond is.
Bekijk welke fouten zijn gemaakt en welke rol jij of je bedrijf daarbij heeft gespeeld. Was je de verwerkingsverantwoordelijke? Of was je slechts de verwerker die handelde in opdracht van een ander? Dit onderscheid is belangrijk, omdat het mede bepaalt wie aansprakelijk is voor de schade. Probeer, voor zover mogelijk, tot een oplossing te komen met de betrokkenen, bijvoorbeeld door middel van een schikking of door compensatie aan te bieden. Dit kan juridische procedures voorkomen en reputatieschade beperken.
Wanneer je van mening bent dat de claim onterecht is, of als er met de betrokkene niet uitkomt, kun je ervoor kiezen om de claim aan te vechten door eerste juridische stappen te nemen. Hiervoor heb je bewijs nodig waarmee je jouw stellingen kunt onderbouwen. Denk aan screenshots, correspondentie en relevante documentatie, zoals verwerkersovereenkomsten, quitclaims en bewijs van de genomen (technische) maatregelen.
Tip: Weet je niet goed hoe je moet reageren op een claim of heb je hier hulp bij nodig? Ik help je graag bij het onderhandelen met betrokkenen of het nemen van de eerste juridische stappen, zoals een sommatiebrief.
