Zorgvuldig opgebouwde klantenbestanden zijn goud waard, maar kunnen bij onzorgvuldig gebruik vanaf volgend jaar ook veel geld gaan kosten. Dit is het resultaat van een wijziging die per 1 januari zal worden doorgevoerd in de Wet Bescherming Persoonsgegevens (Wbp artikel 34a). Die verplicht onder meer het melden van persoonsgegevens die in onbedoelde handen zijn terechtgekomen.

De wijziging in de meldplicht datalekken geeft het CBP de bevoegdheid om boetes op te leggen tot wel 810.000 euro of, indien niet passend, tien procent van de jaaromzet van de overtredende rechtspersoon.

Stichting Sims, opgezet door RAI Vereniging en Bovag, maant ondernemingen om de regelgeving goed ter harte te nemen. Bedrijven die persoonsgegevens verzamelen om deze zakelijk te gebruiken of te verwerken, worden door de WBP beschouwd als ‘verantwoordelijke’. Dit geldt dus ook als iemand anders voor het bedrijf de verzamelde gegevens verwerkt. Zo’n ‘bewerker’ is niet verantwoordelijk, dat blijft de ondernemer.

Er wordt gesproken over een datalek als persoonsgegevens uit het bedrijf in handen vallen van derden, die geen toegang tot die gegevens zouden mogen hebben. Dit kan het gevolg van een beveiligingsprobleem zijn, maar dit kan zich ook voordoen als bijvoorbeeld klantbestanden beschikbaar gesteld worden aan een campagnebureau (bewerker) ten behoeve van een mailing.

Dit is bijvoorbeeld het geval zodra dezelfde persoonsgegevens door de bewerker weer voor een ander doel gebruikt worden, zonder dat u als opdrachtgever dat goedkeurt. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen uitdraai (denk aan de papiercontainer…) evengoed een datalek vormen.

Quick Scan

Als een onderneming met databestanden werkt waarin persoonsgegevens voorkomen, dan dient de onderneming deze te registreren bij het College Bescherming Persoonsgegevens. In de praktijk blijkt dit door bedrijven niet altijd voldoende geregeld te zijn, met mogelijke boetes tot gevolg.

Sims adviseert om de VNO/NCW/MKB Privacy Quick Scan te doen om uit te vinden of uw bedrijf verplicht is te melden of niet. De scan geeft in negentien muisklikken een eerste beeld hoe het gesteld is met de privacy en geeft adviezen. Op het Sims-portaal zijn ook standaarddocumenten als bijvoorbeeld een bewerkersovereenkomst te vinden, die kosteloos kunnen worden gedownload, mits de bezoeker zich kosteloos registreert.

Met de inwerkingtreding van de nieuwe wet zal ook de naam van het College Bescherming Persoonsgegevens (CBP) overgaan in Autoriteit Persoonsgegevens (AP).