privacy: hoge boetes bij gegevenslek of privacyinbreuk

Wie vandaag de privacywet aan zijn laars lapt of overtreedt, riskeert een strafrechtelijke boete van 800 tot 800.000 euro. Vanaf 25 mei 2018 kan de Privacycommissie veel zwaardere sancties en administratieve boetes opleggen. Geen paniek. Onze Belgische Privacycommissie mag dan wel strenger controleren, niet elke overtreding wordt onmiddellijk beboet.

 

Bovendien hangt het gewicht van de sanctie af van de intentie van de overtreder (bewust, te goeder trouw, volharden in de overtreding, recidive, …). Anders gezegd er zijn verzachtende omstandigheden voor bedrijven of organisaties die alle persoonsgegevens op een correcte manier verwerken en dat ook kunnen bewijzen.

 

sancties bij overtreding of bij data breach (datalek)

Wanneer de processor of de controller de verzamelde data niet correct beheren, een ernstig datalek niet melden of het bedrijf geen risico-assessment houdt, … kan de Privacycommissie naargelang de ernst van de zaak kiezen uit een lange lijst sancties : een waarschuwing of berisping. Eisen dat u de verwerking op punt stelt of de fouten rechtzet, of dat u de betrokken persoon op de hoogte brengt. De commissie kan ook gegevens laten wissen of zelfs een verwerkingsverbod opleggen.

Sanctie of boete? De Privacycommissie beslist over de ernst van de inbreuk.

Als de processor of de controller hun ‘job’ niet volgens de regels van de kunst uitvoeren of een datalek niet goed beheren, riskeren ze een boete  tot 10 miljoen euro of twee procent van de jaarlijkse wereldwijde omzet indien hoger. Voor ernstige misstappen (geen respect voor de algemene beginselen of de rechten van de betrokkene) kan dat bedrag stijgen tot 20 miljoen euro of vier procent van de jaarlijkse wereldwijde omzet indien hoger.

 

wat moet u doen bij een datalek?

Bij een datalek of data breach faalt de beveiliging van de gegevens. Waardoor persoonsgegegevens worden verloren, vernietigd, veranderd of in verkeerde handen terechtkomen. Per ongeluk of onrechtmatig. In elk geval moet u:

  • binnen de 72 uur nadat u op de hoogte bent van het lek, de Privacycommissie verwittigen;
  • ook de betrokken personen verwittigen als de inbreuk een groot risico vormt voor hun rechten en vrijheden.

Weten uw medewerkers wat te doen bij een datalek?


wees voorbereid!

Zorg dat u snel kunt reageren bij een datalek. Hoe langer u in het ongewisse bent, hoe groter de mogelijke schade (en hoe groter de kost om die recht te zetten). Bereid u voor en:

  • zorg dat uw medewerkers goed begrijpen wat een datalek is;
  • duid een verantwoordelijke aan die een inbreuk moet controleren en rapporteren;
  • zet een werkbaar detectiesysteem op poten;
  • stel een modeldocument op om inbreuken te melden.

Lees ook de zes andere artikels in onze reeks over de strengere Europese privacywet.


1. het doel en toepassing van de strengere privacyregels

2. ik verwerk persoonsgegevens, wat zijn mijn verplichtingen?

3. moet ik een data protection officer aanstellen?

4. beheer(s) uw dataleveranciers en -verwerkers


disclaimer
Randstad vindt het als grootste human resources-dienstverlener van het land belangrijk om op deze blog arbeidsmarktgerelateerde onderwerpen vanuit verschillende invalshoeken aan bod te laten komen. Dit wil niet zeggen dat we automatisch de standpunten onderschrijven van de specialisten die in onze publicaties het woord nemen.