Onlangs kreeg een groot bedrijf een boete van € 475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen kunnen hieruit getrokken worden?
Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is in ieder geval nodig als er een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
In veel gevallen zal er onderzoek nodig zijn of er daadwerkelijk sprake is van een datalek. Dat onderzoek kan enige tijd in beslag nemen. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of er sprake is van een inbreuk op persoonsgegevens. Als er van een inbreuk sprake is, moeten er ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.
Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.
De rechter oordeelde echter dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.
De eerste les die uit deze uitspraak kan worden getrokken is dat het verstandig is om bij een mogelijk datalek binnen 72 uur in ieder geval een pro-formamelding bij de AP te doen. Daarmee kunt u een boete vanwege een te late melding voorkomen.
Tip! Vermeld in de pro-formamelding welke actie er al ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Als er van de eigen protocollen wordt afgeweken, kan dit ertoe leiden dat er niet adequaat is opgetreden en kan er een boete worden opgelegd.
Ontdek meer actuele inzichten en praktische updates van Cooster.
De voorlopige inhoud van het Belastingplan 2027-pakket geeft een eerste blik op de aanstaande wijzigingen. Het pakket Belastingplan 2027 omvat vier wetsvoorstellen, waaronder het Belastingplan 2027 zelf en het wetsvoorstel Overige Fiscale Maatregelen
Lees artikelEen adviseur begeleidt de sanering van een groep vennootschappen. De vennootschappen gaan failliet. De curator stelt de adviseur aansprakelijk voor de schade van de schuldeisers. Die schade bestaat grotendeels uit belastingschulden. De adviseur vindt
Lees artikelEen dga sluit een overeenkomst voor de aankoop van cryptotokens. De bv maakt het aankoopbedrag van € 250.000 over. De tokens blijken waardeloos. De bv wil het verlies ten laste van haar resultaat brengen. De inspecteur weigert de afwaardering.
Lees artikelEen echtpaar vraagt om herverdeling van de gezamenlijke inkomensbestanddelen over 2019. De inspecteur legt een navorderingsaanslag op aan de man en geeft een teruggaaf aan de vrouw. Bij de navorderingsaanslag brengt de inspecteur € 3.681 aan
Lees artikelDe beslissing van de werkgever om een werknemer met een nulurencontract niet meer op te roepen voor werkzaamheden moet worden aangemerkt als een onregelmatige opzegging van de arbeidsovereenkomst. De werknemer is sinds 1 oktober 2024 in dienst. Na
Lees artikelEen vrouw overlijdt in 2022 en laat een testament na uit 1986. Daarin benoemt zij haar echtgenoot en dochter tot erfgenaam, ieder voor de helft. De echtgenoot krijgt een legaat tegen inbreng van de waarde en het vruchtgebruik van de gehele
Lees artikel
Wil je altijd op de hoogte blijven van het laatste nieuws omtrent financiën en accountancy?
Schrijf je dan in voor onze nieuwsbrief en mis niets.
Wilt u onze nieuwsbrief niet meer ontvangen? dan kunt u zich hier uitschrijven.
