Legal insight

D. CASAER, "28 mei 2018 nadert snel - wees voorbereid!"

Wist u dat diefstal of verlies van een smartphone van één van uw medewerkers eigenlijk een datalek uitmaakt ?

Op 25 mei 2018 zal de General Data Protection Regulation (GDPR – Algemene Verordening Gegevensbescherming) haar volledige uitwerking krijgen en tegen dan zal de huidige Belgische Privacywet (8 december 1992) verdwijnen. U kan over de GDPR intussen bijna dagelijks wel ergens een seminarie, ontbijtsessie of lunchcauserie meepikken, maar toch blijkt uit cijfers die in De Tijd waren te lezen dat 75% van de Belgische bedrijven nog geen weet te hebben van wat er op hen afkomt.

Eén van de nieuwigheden is dat een onderneming een “datalek” binnen de 72u na het voorval zal moeten melden  aan de Privacycommissie en mogelijk ook de betrokken individuen zal moeten informeren. Bij een datalek denkt de Vlaamse ondernemer waarschijnlijk aan één of andere schimmige Russische hacker die nu hij Trump tot in het Witte Huis heeft gekregen door toepassing van minder fraaie IT technieken, tijd over heeft om bonafide bedrijven af te persen door het eisen van wat “ransomware” heet.

De waarheid is helaas vaak veel minder prozaïsch. De meeste datalekken worden veroorzaakt door een menselijke fout of gewoonweg brute pech, vaak door eigen medewerkers van de onderneming.

 

Nederlandse cijfers omtrent datalekken

In Nederland bestaat al een wettelijke verplichting om datalekken te melden bij de “Autoriteit Persoonsgegevens” (tegenhanger van onze Privacycommissie). Uit hun cijfers over het eerste kwartaal van 2017 blijken een aantal interessante vaststellingen:

 

  • 45 % van de datalekken bestaan uit persoonsgegevens verstuurd of afgegeven aan de verkeerde ontvanger

     

  • 15 % uit kwijtgeraakt of gestolen apparaat, gegevensdrager of papieren versie

     

  • 5 % die per ongeluk worden gepubliceerd

     

  • 7 % hacking, malware of phishing

     

  • 7% brief of postpakket verkeerd verzonden of kwijt geraakt

     

  • 5 % persoonsgegevens van verkeerde klant in klantportaal zichtbaar

     

  • En dan nog paar kleinere fenomenen

     

 

Definitie van een datalek 

De nieuwe Verordening omvat dan ook een erg ruime omschrijving van het begrip datalek. Deze luidt als volgt: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.” 

Dit wil inderdaad zeggen dat een inbraak waarbij een aantal computers wordt gestolen uit de onderneming of een sportieve medewerker die tijdens een zomerse beklimming van de Mont Ventoux zijn smartphone kwijtspeelt waarop zijn professionele mails staan, alsook mailadressen, allemaal incidenten zijn die vanaf 25 mei 2018 binnen de 72 uren aan de Privacycommissie en mogelijk de personen op wie het datalek betrekking heeft, moeten gemeld worden.

 

***

 

Kortom, u heeft als onderneming nog wel wat werk aan de winkel voor 25 mei 2018.

 

 

 

Dylan Casaer is advocaat-vennoot bij Olislaegers & De Creus / Awerian, specialist arbeidsrecht & data privacy, Certified Data Privacy Officer (DPO)