Databeveiliging en de werknemer als zwakste schakel

Privacy is volop in beweging. Kijkend naar de enorme hoeveelheid persoonsgegevens die inmiddels door bedrijven en overheden worden verwerkt en de gevolgen van het verlies en het onrechtmatig verwerken van persoonsgegevens, is dit niet zo gek. Denk alleen maar aan de Panama Papers en de onthullingen van overheidsdocumenten die Edward Snowden aan Wikileaks verschafte.

Wet- en regelgeving

Databeveiliging, de mens is de zwakste schakelMet ingang van 1 januari 2016 is de Wet Meldplicht Datalekken van kracht. Deze wet heeft geleid tot aanpassing van de Wet bescherming persoonsgegevens, een wet die is gebaseerd op een Europese richtlijn. Bedrijven en overheden zijn op basis van deze nieuwe wet verplicht om een datalek onverwijld te melden bij de Autoriteit Persoonsgegevens. Van een datalek is sprake bij een beveiligingsincident waarvan het redelijk vermoeden bestaat dat het incident leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daartoe bestaat. De Autoriteit Persoonsgegevens heeft in het kader van deze wet de bevoegdheid gekregen om voor de meeste overtredingen een bestuurlijke boete op te leggen van maximaal 820.0000 euro.

Met ingang van 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de algemene verordening gegevensbescherming. Op grond van deze verordening kan een geldboete van maximaal 25 miljoen euro of 5 procent van de totale wereldwijde omzet van de organisatie worden opgelegd aan overtreders. Een belangrijk element van de verordening is de versterking van de verantwoordelijkheden van organisaties die persoonsgegevens verzamelen en gebruiken, waaronder de invoering van de verplichting voor organisaties om datalekken direct te melden. Andere belangrijke elementen zijn de versterking en uitbreiding van de rechten van betrokkenen en de expliciete opname van zelfstandige verplichtingen voor bewerkers van persoonsgegevens. Onder de verordening is van een datalek enkel geen sprake als het incident aantoonbaar géén nadelige gevolgen heeft. De verplichtingen en sancties zijn dus verstrekkend.

De zwakste schakel?

Bij het opstellen van commerciële contracten wordt steeds meer aandacht besteed aan de verwerking van persoonsgegevens, beveiligingsincidenten en hoe hiermee om te gaan. Vaak wordt echter uit het oog verloren dat het mensen zijn die met persoonsgegevens werken. En zijn mensen niet per definitie de zwakste schakel? We weten dat ook de meest ervaren bouwvakker door daken zakt en de meest ervaren rechters en advocaten hun laptop onbeheerd achterlaten in auto of trein. Een meldplicht en boetebevoegdheid alleen, zullen datalekken helaas niet voorkomen.

De oplossing

Dé oplossing is er niet. Maar een hoop leed kan wel worden voorkomen door ook in arbeidsovereenkomsten concrete afspraken te maken over hoe met persoonsgegevens en beveiligingsincidenten moet worden omgegaan. Daarnaast dienen werknemers hier op terugkerende basis over geïnformeerd te worden. Welke regels moeten in acht worden genomen bij de verwerking van persoonsgegevens? Wat is een persoonsgegeven? Wat is een beveiligingsincident? En hoe moet een werknemer handelen bij het risico op en/of het bestaan van een beveiligingsincident? Intranet, prikborden en bijeenkomsten kunnen goede hulpmiddelen zijn. Tot slot is een cultuur waarbij werknemers zich vrij voelen om te melden noodzakelijk. De keuze om een kwijtgeraakte USB-stick met persoonsgegevens niet te melden, is wellicht snel gemaakt, maar moet te allen tijde worden voorkomen.

Marion Hagenaars, advocaat arbeidsrecht bij Cordemeyer & Slager / Advocaten, Haarlem.