Home / Nieuws, Trends & Actualiteiten / Algemeen / AVG Special – 5. Aansprakelijkheid bij een datalek

AVG Special – 5. Aansprakelijkheid bij een datalek

Wat is uw positie als werkgever op het moment dat een medewerker een datalek veroorzaakt? Bij wie ligt de aansprakelijkheid bij een datalek? Bent u als werkgever aansprakelijk voor de eventuele schade bij een betrokkene? Helaas is het antwoord ja!

Kwaadwillende medewerkers

Denk aan de situatie bij de GGD waar (ex) werknemers persoonsgegevens hebben verkocht. GGD is als werkgever aansprakelijk voor eventuele schade die hieruit voortvloeit. Het voorgaande is ondermeer de uitkomst geweest in de Morrisons zaak (Verenigd Koninkrijk). In deze zaak heeft een medewerker uit rancune een bestand met persoonsgegevens van Morrisons op internet geplaatst. De uitspraak van High Court laat zien dat werkgevers aansprakelijk kunnen worden gesteld voor datalekken, die worden veroorzaakt door (kwaadwillige) werknemers.

Hoe kan ik mij tegen deze aansprakelijkheid bij een datalek weren?

Hoe kunt u zich dan als werkgever tegen aansprakelijkheid weren? Dit begint natuurlijk bij het nemen van maatregelen om datalekken te voorkomen en te voldoen aan alle eisen die de AVG aan u stelt. In de eerder gepubliceerde artikelen in deze AVG Special zijn er al  een aantal tips gegeven.

Neem ook organisatorische maatregelen

Naast adequate technische maatregelen, zoals het onmogelijk maken om persoonsgegevens uit een systeem te downloaden, spelen ook organisatorische maatregelen een belangrijke rol. Denk hierbij aan bijvoorbeeld een ICT-protocol voor uw medewerkers, waarin bijvoorbeeld is opgenomen dat er geen persoonsgegevens mogen worden gedownload, deze niet naar een persoonlijk mail adres mogen worden gestuurd, of opgeslagen op een bureaublad dan wel mogen worden uitgeprint.

Zorg er daarnaast voor dat u een datalekkenprotocol heeft, zodat iedereen binnen de organisatie weet hoe zij moeten handelen bij een datalek.

Tenslotte is het mogelijk u te verzekeren tegen onder meer schade als gevolg van datalekken. Zeker aan te raden als voor uw dienstverlening het noodzakelijk is een omvangrijke hoeveelheid aan persoonsgegevens te verwerken.

Spoofing, omdenken! Naar aanleiding van dit probleem zijn we gaan nadenken over systematische veiligheid. We zijn  tot de conclusie gekomen dat we gestructureerd al onze systemen hierop moeten beoordelen. Dan lopen we bijvoorbeeld tegen het  probleem aan dat iedereen over veel informatie kan beschikken. Terwijl je uit veiligheidsoverwegingen je veel meer uitgaat van een “need-to-know” benadering. Dat botst met onze ondernemingsfilosofie.

Spoofing, omdenken:  De noodzaak is duidelijk. De uitwerking is lastig, zeker omdat het hier om details gaat, waarbij de dreigingen snel kunnen veranderen. Het vraagt om een systematische lange termijn aanpak.

Algemeen | AVG | Blogs, Specials en Opinie | Bureau Cicero | Nieuws, Trends & Actualiteiten | Privacy

De AVG Special is geschreven in partnerschap met Inge BrattingaVRF advocaten en het AVG Garant Keurmerk

Webinar: AVG waar moet je op letten

Wilt u meer weten? We hebben ook nog een webinar! Meld u hier aan voor de webinar van 20 oktober.