Onlangs kreeg een groot bedrijf een boete van €475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen trekt men hieruit?
Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is nodig als een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico is voor de rechten en vrijheden van natuurlijke personen.
In veel gevallen is onderzoek nodig of daadwerkelijk sprake is van een datalek. Dat onderzoek neemt enige tijd in beslag. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of sprake is van een inbreuk op persoonsgegevens. Als van een inbreuk sprake is, moeten ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.
Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.
Maar de rechter oordeelde dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.
De eerste les van deze uitspraak is dat het verstandig is om bij een mogelijk datalek binnen 72 uur een pro-formamelding bij de AP te doen. Daarmee voorkom je een boete vanwege een te late melding.
Tip! Vermeld in de pro-formamelding welke actie ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Bij afwijking van de eigen protocollen leidt dit ertoe dat niet adequaat is opgetreden en kan een boete worden opgelegd.
Heb je vragen of wil je persoonlijk advies? Neem gerust contact met ons op. Wij staan voor je klaar!
Meer uren werken dan vastgelegd? Waar moet je op letten?
26-07-2021
Ligt het aantal uren dat een werknemer werkt structureel hoger dan overeengekomen? Dan kan een werknemer deze arbeidsomvang afdwingen bij de werkgever. Ook al zijn andere uren overeengekomen. De wetgever heeft in het Burgerlijk Wetboek een zogenaamd rechtsvermoeden van arbeidsomvang opgenomen. Als sprake is van een structureel arbeidspatroon over een periode van drie maanden ontleent een werknemer daar, behoudens tegenbewijs, rechten aan.
Hoog of laag btw-tarief bij parkeerdiensten attractiepark?
27-07-2021
Bied je als ondernemer naast toegang tot bijvoorbeeld een attractiepark, museum of festival ook parkeerdiensten aan, dan moet je daarover btw rekenen. Hoeveel? Over het algemeen is dat het hoge tarief, maar onder omstandigheden kan het lage tarief van toepassing zijn. Wat precies die omstandigheden zijn wordt duidelijker in de jurisprudentie.