Facebook Instagram Linkedin X-twitter
Boek een consult
Nieuws

Cybersecurity en aansprakelijkheid: wie is verantwoordelijk bij een datalek?

  • Home
  • Blog
  • Cybersecurity en aansprakelijkheid: wie is verantwoordelijk bij een datalek?
Back to all articles

Een datalek kan voor elk bedrijf grote gevolgen hebben. Van boetes tot claims van gedupeerden en reputatieschade.

De centrale vraag is vaak: wie draait ervoor op als vertrouwelijke gegevens op straat komen te liggen?

Een groep zakelijke professionals bespreekt cybersecurity en aansprakelijkheid rond een vergadertafel met digitale beveiligingsbeelden op schermen.

Als ondernemer bent u als verwerkingsverantwoordelijke eindverantwoordelijk voor de bescherming van persoonsgegevens, ook wanneer het datalek ontstaat door een hack, een fout van een medewerker of een probleem bij een toeleverancier. De AVG verplicht u om binnen 72 uur een datalek te melden bij de Autoriteit Persoonsgegevens als er risico’s zijn voor betrokkenen.

Bij nalatigheid kunt u aansprakelijk worden gesteld en riskeert u boetes tot € 20 miljoen of 4% van uw jaaromzet.

In dit artikel leest u welke juridische regels gelden bij datalekken. We bespreken uw verantwoordelijkheden, de verschillende rollen in gegevensverwerking, en hoe u zich kunt beschermen met goede beveiligingsmaatregelen en verzekeringen.

Wat is een datalek en waarom is het relevant?

Een groep professionals werkt samen in een kantoorruimte met een digitaal scherm waarop gegevens en beveiligingssymbolen te zien zijn.

Een datalek ontstaat wanneer persoonsgegevens toegankelijk worden voor onbevoegden of verloren gaan door een beveiligingsprobleem. Dit kan grote gevolgen hebben voor uw organisatie en de mensen wiens gegevens u beheert.

Definitie van een datalek

Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens onbedoeld of onrechtmatig worden vrijgegeven, gewijzigd of vernietigd. Het gaat om toegang tot gegevens zonder toestemming of door een storing in uw systemen.

Er zijn drie soorten datalekken die u moet kennen:

  • Inbreuk op vertrouwelijkheid: Onbevoegden krijgen toegang tot persoonsgegevens die zij niet mogen inzien
  • Inbreuk op integriteit: Iemand wijzigt persoonsgegevens zonder bevoegdheid of per ongeluk
  • Inbreuk op beschikbaarheid: Uw organisatie kan niet meer bij de gegevens komen of deze zijn vernietigd

Een datalek beperkt zich niet tot alleen digitale aanvallen. Het kan ook gaan om menselijke fouten of het verlies van fysieke gegevensdragers.

Voorbeelden van datalekken en cyberincidenten

Datalekken komen in verschillende vormen voor in uw dagelijkse bedrijfsvoering. Een veelvoorkomend voorbeeld is het versturen van een e-mail met persoonsgegevens naar het verkeerde adres.

Veelvoorkomende datalekken:

  • Verlies van een USB-stick met niet-versleutelde persoonsgegevens
  • Een medewerker die onbevoegd een medisch dossier bekijkt
  • Ransomware-aanval waarbij gijzelsoftware uw bestanden versleutelt
  • Phishing waarbij inloggegevens worden gestolen
  • Een cyberaanval waarbij hackers gevoelige data buitenmaken

De GGD en Allekabels.nl kregen recent te maken met datalekken waarbij gegevens van miljoenen mensen werden blootgesteld. Deze voorbeelden laten zien dat elk type organisatie risico loopt.

Risico’s en gevolgen van een datalek

De schade van een datalek gaat verder dan alleen technische problemen. Uw organisatie loopt financiële, juridische en reputatieschade op.

Wanneer gevoelige data zoals medische informatie, financiële gegevens of NAW-gegevens worden gelekt, schaadt dit de privacy van betrokkenen direct. Zij kunnen te maken krijgen met identiteitsfraude of ongewenste openbaarmaking van persoonlijke informatie.

Mogelijke gevolgen voor uw organisatie:

  • Boetes van de Autoriteit Persoonsgegevens tot €20 miljoen of 4% van de jaaromzet
  • Schadeclaims van gedupeerden
  • Kosten voor herstel en onderzoek van het cyberincident
  • Verlies van klanten en vertrouwen
  • Negatieve publiciteit en reputatieschade

U bent wettelijk verplicht om ernstige datalekken binnen 72 uur te melden bij de toezichthouder. Bij hoge risico’s voor betrokkenen moet u hen ook direct informeren.

Wetgeving: de AVG en meldplicht bij datalekken

Organisaties moeten bij een datalek handelen volgens vaste regels uit de privacywetgeving. De meldplicht datalekken verplicht bedrijven en overheden om binnen 72 uur actie te ondernemen wanneer persoonsgegevens zijn gelekt.

Overzicht van de Algemene verordening gegevensbescherming (AVG)

De Algemene verordening gegevensbescherming (AVG) is de Europese privacywetgeving die sinds 25 mei 2018 van kracht is. Deze verordening beschermt de persoonsgegevens van mensen in de Europese Unie.

De AVG verplicht u als organisatie om technische en organisatorische maatregelen te nemen. Deze maatregelen moeten persoonsgegevens beschermen tegen verlies, diefstal of onrechtmatige toegang.

Belangrijke verplichtingen onder de AVG:

  • Passende beveiligingsmaatregelen treffen
  • Persoonsgegevens verwerken op rechtmatige, behoorlijke en transparante wijze
  • Alleen noodzakelijke gegevens verzamelen
  • Gegevens actueel en correct houden

De European Data Protection Board coördineert de toezichthouders uit verschillende EU-landen. Deze samenwerking zorgt voor een eenduidige toepassing van de privacywetgeving in alle lidstaten.

Meldplicht aan Autoriteit Persoonsgegevens (AP)

U moet een datalek melden bij de Autoriteit Persoonsgegevens wanneer er risico bestaat voor de slachtoffers. De melding moet gebeuren binnen 72 uur nadat u het datalek heeft ontdekt.

De meldplicht geldt voor alle organisaties die persoonsgegevens verwerken. Dit zijn zowel bedrijven als overheden.

Wat moet uw datalekmelding bevatten:

  • Aard van het datalek
  • Aantal getroffen personen
  • Mogelijke gevolgen voor betrokkenen
  • Genomen en voorgestelde maatregelen

Bij een hoog risico voor de betrokkenen moet u ook de slachtoffers zelf informeren. De AP beoordeelt of het risico groot genoeg is om gemeld te worden.

Niet elk datalek hoeft gemeld te worden, alleen wanneer er een reëel risico bestaat.

Registratie en documentatie van datalekken

U bent verplicht om alle datalekken intern te registreren, ook als u ze niet meldt bij de AP. Dit interne datelekregister moet minimaal vijf jaar bewaard blijven.

Het register bevat details over elk datalek. U noteert wat er is gebeurd, welke gegevens zijn gelekt en welke stappen u heeft genomen.

Verplichte informatie in uw register:

Onderdeel Beschrijving
Datum en tijd Wanneer het datalek plaatsvond
Betrokken gegevens Type en aantal gelekte persoonsgegevens
Getroffen personen Aantal en kenmerken van slachtoffers
Oorzaak Hoe het datalek kon ontstaan
Maatregelen Genomen en geplande acties

De documentatie helpt u om verbeteringen door te voeren. Toezichthouders kunnen het register opvragen tijdens een controle.

Goede documentatie toont aan dat u uw verantwoordelijkheid serieus neemt.

Wie is verantwoordelijk? Rollen in de verwerking van persoonsgegevens

Bij een datalek hangt de aansprakelijkheid af van de rol die een organisatie heeft in de verwerking van persoonsgegevens. De AVG maakt duidelijk onderscheid tussen verschillende partijen en hun taken.

Verwerkingsverantwoordelijke versus verwerker

Als verwerkingsverantwoordelijke bepaalt uw organisatie waarom en hoe persoonsgegevens worden verwerkt. U neemt de belangrijke beslissingen over het doel en de manier van verwerken.

U bent verwerkingsverantwoordelijke in drie situaties:

  • U bepaalt welke persoonsgegevens worden verwerkt en geeft instructies aan andere partijen
  • De wet zegt expliciet dat uw organisatie bepaalde gegevens mag of moet verwerken
  • Het ligt voor de hand dat u als werkgever of vereniging bepaalde gegevens verwerkt

Een verwerker daarentegen werkt in opdracht van een andere organisatie. De verwerker voert de verwerkingen alleen feitelijk uit en gebruikt de gegevens niet voor eigen doeleinden.

Denk aan een it-partner die uw systemen beheert of een leverancier die gegevens opslaat. Zodra een verwerker de persoonsgegevens voor eigen doeleinden gebruikt, wordt deze organisatie zelf verwerkingsverantwoordelijke.

Deze partij moet zich dan aan alle eisen voor verwerkingsverantwoordelijken houden.

Aansprakelijkheid van leveranciers en derden

U blijft als verwerkingsverantwoordelijke verantwoordelijk voor verwerkingen die u uitbesteedt aan leveranciers. Uw klanten hebben hun gegevens aan uw bedrijf toevertrouwd, niet aan derden.

U moet een betrouwbare verwerker kiezen die aan de AVG-regels voldoet. Dit betekent dat u moet controleren of de leverancier passende beveiligingsmaatregelen treft.

U kunt zich niet verschuilen achter een verwerker bij een datalek.

Leveranciers en it-partners hebben ook eigen verplichtingen. Zij moeten zich volledig houden aan uw instructies.

Bij een datalek moet de verwerker u zo snel mogelijk informeren. De verwerker mag alleen subverwerkers inschakelen met uw schriftelijke toestemming.

Als een verwerker uw instructies niet opvolgt, beschouwt de AVG deze partij als verwerkingsverantwoordelijke. Deze organisatie is dan vaak in overtreding omdat zij meestal geen eigen grondslag heeft.

Samenwerking en afspraken in de keten

U moet met uw verwerker een verwerkersovereenkomst afsluiten. Hierin legt u vast wat de verwerker wel en niet met de persoonsgegevens mag doen.

De overeenkomst beschrijft de precieze opdracht en bevat werkafspraken over privacyrechten. Maak in de verwerkersovereenkomst concrete afspraken over datalekken:

  • Naar wie bij uw organisatie moet de verwerker bellen bij een datalek
  • Hoe vaak houdt de verwerker u op de hoogte
  • Welk contactpunt is bereikbaar voor meldingen

Werkt u samen met meerdere organisaties en bepaalt u gezamenlijk doelen en middelen? Dan is sprake van gezamenlijke verwerkingsverantwoordelijkheid.

Alle deelnemende organisaties zijn verantwoordelijk en moeten een eigen grondslag hebben. U kunt elkaar niet aanwijzen bij problemen.

Betrokkenen kunnen iedere deelnemende organisatie aanspreken. Regel onderling goed wie zorgt dat aan de AVG-verplichtingen wordt voldaan.

Aansprakelijkheid bij een datalek: juridische aspecten en gevolgen

Bij een datalek bepalen de getroffen beveiligingsmaatregelen of je aansprakelijk bent voor schade. De juridische gevolgen kunnen oplopen tot forse boetes, schadevergoeding aan gedupeerden, en onder omstandigheden persoonlijke aansprakelijkheid voor bestuurders.

Juridische kaders en bewijslast

De AVG vormt het belangrijkste juridische kader voor aansprakelijkheid bij datalekken. Je bent verplicht passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen.

De bewijslast ligt bij jou als verwerkingsverantwoordelijke. Je moet kunnen aantonen dat je voldoende beveiligingsmaatregelen hebt genomen.

Dit betekent dat je documentatie moet bijhouden van je beveiligingsbeleid, risicoanalyses en genomen maatregelen.

Je bent aansprakelijk wanneer:

  • Je geen schriftelijke verwerkingsovereenkomsten hebt met verwerkers
  • Je nalatig bent geweest in het treffen van beveiligingsmaatregelen
  • Je een datalek niet tijdig meldt bij de Autoriteit Persoonsgegevens
  • Je onnodig veel of gevoelige persoonsgegevens opslaat

De toezichthouder beoordeelt of je maatregelen passend waren voor de aard van de verwerkte gegevens. Gevoelige data zoals medische gegevens vereisen strengere beveiliging dan basale contactgegevens.

Boetes, schadevergoeding en claims

De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De hoogte hangt af van de ernst van de overtreding en je mate van nalatigheid.

Daarnaast hebben gedupeerden het recht om schadevergoeding te eisen. Dit omvat zowel materiële schade als immateriële schade zoals stress of reputatieschade.

Je moet deze schade vergoeden als je niet kunt bewijzen dat je aan alle verplichtingen hebt voldaan. De financiële gevolgen kunnen verder oplopen door:

  • Kosten voor forensisch onderzoek
  • Herstel van systemen en data
  • Omzetverlies tijdens de uitval
  • Reputatieschade en klantverlies

Claims van klanten, leveranciers of andere betrokkenen kunnen collectief worden ingediend. Dit vergroot de potentiële schadelast aanzienlijk.

Persoonlijke aansprakelijkheid van bestuurders

Een bestuurder kan persoonlijk aansprakelijk worden gesteld voor schade door een datalek. Dit gebeurt wanneer de bestuurder zijn taak kennelijk onbehoorlijk heeft vervuld en dit een belangrijke oorzaak is van het datalek.

Nalatigheid kan blijken uit het structureel negeren van beveiligingsrisico’s of het niet beschikbaar stellen van budgetten voor noodzakelijke maatregelen. Een bestuurder heeft een zorgplicht jegens de organisatie en moet adequaat reageren op cybersecurity-risico’s.

Je kunt je persoonlijke aansprakelijkheid beperken door aantoonbaar actie te ondernemen. Dit betekent het actief monitoren van risico’s, investeren in beveiliging en tijdig handelen bij signalen van kwetsbaarheden.

Preventie en beveiligingsmaatregelen tegen datalekken

Een goed beveiligingsplan begint met een risicoanalyse die kwetsbare punten in uw organisatie blootlegt. Door gerichte technische en organisatorische maatregelen te combineren met bewuste medewerkers en veilige samenwerkingsafspraken, verkleint u de kans op datalekken aanzienlijk.

Technische en organisatorische maatregelen

U moet passende beveiligingsmaatregelen nemen die aansluiten bij de specifieke risico’s van uw organisatie. Start met het in kaart brengen van alle informatiestromen en bepaal waar persoonsgegevens worden opgeslagen.

Controleer welke medewerkers toegang hebben tot welke gegevens en beperk deze toegang tot wat noodzakelijk is voor hun functie. Technische maatregelen omvatten versleuteling van gevoelige gegevens, meerfactorauthenticatie en beveiligde back-ups.

Bescherm mobiele apparaten met encryptie en zorg voor regelmatige software-updates. Implementeer firewalls en antivirussoftware om uw netwerk te beschermen tegen hack en malware.

Organisatorische maatregelen betreffen heldere procedures en toegangscontroles. Voer regelmatig opschoonacties uit door oude e-mails en bestanden met persoonsgegevens te verwijderen.

Controleer periodiek de logbestanden op onrechtmatige toegang. Stel bcc in als standaardoptie in uw e-mailprogramma om onbedoeld delen van e-mailadressen te voorkomen.

De AVG vereist dat u deze maatregelen blijft evalueren en aanpassen volgens de ‘plan-do-check-act’ cyclus. Wat passend is verschilt per organisatie en hangt af van de aard en omvang van de persoonsgegevens die u verwerkt.

Beveiliging bij samenwerking met externe partijen

Externe leveranciers vormen een belangrijk risico voor gegevensbescherming. U blijft verantwoordelijk voor de veiligheid van persoonsgegevens, ook wanneer een leverancier deze voor u verwerkt.

Selecteer alleen leveranciers die aantoonbaar voldoende garanties bieden voor passende technische en organisatorische beveiligingsmaatregelen. Sluit altijd een verwerkersovereenkomst af die precies vastlegt:

  • Welke persoonsgegevens de leverancier verwerkt
  • Welke beveiligingsmaatregelen de leverancier hanteert
  • Hoe beide partijen handelen bij een datalek
  • Wanneer en hoe gegevens worden verwijderd

Vraag naar certificeringen zoals ISO 27001 die cyberbeveiliging aantonen. Controleer regelmatig of leveranciers hun beveiligingsafspraken nakomen.

Bij hoog risico verwerkingen moet u extra waarborgen eisen, zoals regelmatige audits of penetratietesten. Uw aansprakelijkheid vermindert niet doordat u met externe partijen werkt.

Bij een datalek bij een leverancier kunt u alsnog aansprakelijk worden gesteld als u niet zorgvuldig heeft geselecteerd of onvoldoende afspraken heeft gemaakt.

Awareness en training binnen de organisatie

Veel datalekken ontstaan door menselijke fouten. Phishing-aanvallen zijn succesvol omdat medewerkers op verdachte links klikken of gevoelige informatie delen.

Maak uw medewerkers bewust van deze risico’s door structurele aandacht voor preventie. Organiseer regelmatig trainingen over:

  • Herkenning van phishing-mails en verdachte berichten
  • Veilig gebruik van wachtwoorden en toegangscodes
  • Omgang met vertrouwelijke gegevens op de werkplek
  • Procedures bij een vermoeden van een datalek

Zorg dat medewerkers zich veilig voelen om een mogelijk datalek direct te melden. Een datalek kan iedereen overkomen en snel handelen beperkt de schade.

Benoem een duidelijk aanspreekpunt en communiceer contactgegevens inclusief een noodlijn buiten kantooruren. Stem trainingen af op de werkzaamheden van medewerkers.

Iemand die veel e-mailt met externe partijen heeft andere kennis nodig dan iemand die vooral met interne systemen werkt. Herhaal trainingen jaarlijks en test de kennis met gesimuleerde phishing-mails.

Dit vergroot de weerbaarheid van uw organisatie tegen cyberaanvallen.

Verzekeringen en financiële bescherming na een datalek

Een datalek kan leiden tot enorme kosten die verder gaan dan alleen IT-herstel. Verzekeringen bieden bescherming tegen deze financiële risico’s, maar je moet goed begrijpen wat wel en niet gedekt is.

Cyberverzekering: dekking en beperkingen

Een cyberverzekering dekt meestal directe schade zoals omzetverlies, herstelkosten en losgeld bij ransomware. Ook krijg je vaak hulp van IT-specialisten, juristen en communicatie-experts na een incident.

Dit kan belangrijk zijn voor je reputatie wanneer klantgegevens op straat komen te liggen. Let op de uitsluitingen in je polis:

  • AVG-boetes worden vaak niet vergoed
  • Claims van derden zijn niet altijd gedekt
  • Uitkering gebeurt alleen bij voldoende beveiliging

Verzekeraars stellen strenge eisen voordat ze uitkeren. Heeft je bedrijf geen tweefactorauthenticatie of werk je met verouderde software? Dan kan de verzekeraar weigeren te betalen.

Een cyberverzekering is geen vrijbrief voor slordig beveiligingsbeleid. De kosten van een cyberverzekering hangen af van je bedrijfsgrootte, het type data dat je verwerkt en hoe digitaal afhankelijk je bent.

Lees de polisvoorwaarden kritisch door en controleer of je aan alle beveiligingseisen voldoet.

Bedrijfsaansprakelijkheid en aanvullende oplossingen

Je bedrijfsaansprakelijkheidsverzekering dekt meestal geen cyberschade. Deze verzekeringen zijn ontworpen voor fysieke schade aan derden, niet voor digitale incidenten.

Je hebt daarom specifieke dekking nodig voor cyberrisico’s. Verdeel risico’s door goede contractafspraken te maken met IT-leveranciers.

Veel leveranciers beperken hun aansprakelijkheid tot het contractbedrag. Een cloudprovider die 100 euro per maand kost is dan maximaal 100 euro schadeplichtig, ook bij 100.000 euro schade.

Aanvullende beschermingsmaatregelen:

  • Onderhandel over aansprakelijkheidsbedingen in contracten
  • Zorg voor adequate dekking in eigen verzekeringen
  • Maak heldere afspraken over verantwoordelijkheden met leveranciers

Herstel na een datalek: praktische stappen en samenwerking

Na een datalek draait het om snel handelen, duidelijke communicatie en nauwe samenwerking met alle betrokken partijen. Je moet niet alleen technische problemen oplossen, maar ook vertrouwen herstellen bij klanten en partners.

Crisismanagement en communicatie

Je moet direct een crisisteam samenstellen met mensen uit IT, juridische zaken en communicatie. Dit team brengt de schade in kaart en coördineert alle herstelstappen.

Prioriteiten bij crisismanagement:

  • Stop het lek en isoleer getroffen systemen
  • Breng in kaart welke gegevens zijn geraakt
  • Bepaal wie je moet informeren en wanneer
  • Documenteer alle stappen voor de Autoriteit Persoonsgegevens

Je communicatie naar klanten moet helder en eerlijk zijn. Vertel wat er is gebeurd, welke gegevens zijn betrokken en wat je doet om het op te lossen.

Geef ook praktische tips zoals het wijzigen van wachtwoorden. Wacht niet te lang met communiceren.

Klanten horen nieuws liever van jou dan via andere kanalen. Dit helpt om vertrouwen te behouden, zelfs in een crisissituatie.

Samenwerking met klanten, leveranciers en partners

Je herstelproces vraagt om nauwe samenwerking met alle partijen die bij de dataverwerking betrokken zijn. Dit geldt vooral als het datalek ook hun systemen of gegevens raakt.

Informeer leveranciers en partners die mogelijk zijn getroffen. Zij moeten weten of hun gegevens of systemen gevaar lopen.

Deze openheid voorkomt verdere escalatie en beschermt jullie gezamenlijke belangen. Maak duidelijke afspraken over wie wat doet tijdens het herstel.

Als een leverancier verantwoordelijk is voor bepaalde systemen, moet die partij actief meewerken aan de oplossing. Leg deze afspraken vast in verwerkersovereenkomsten.

Belangrijk bij samenwerking:

  • Deel relevante informatie tijdig met betrokken partijen
  • Bepaal gezamenlijk welke beveiligingsmaatregelen nodig zijn
  • Evalueer samen wat beter kan in de toekomst

Je relatie met klanten vraagt extra aandacht. Bied ondersteuning aan, zoals een helpdesk voor vragen of gratis monitoring van hun gegevens.

Dit laat zien dat je hun belangen serieus neemt en werkt aan herstel van vertrouwen.

Veelgestelde vragen

Organisaties krijgen vaak boetes van de Autoriteit Persoonsgegevens en claims van gedupeerden na een datalek. De verantwoordelijkheid ligt meestal bij de verwerkingsverantwoordelijke, ongeacht wie de feitelijke fout maakte.

Wat zijn de juridische implicaties van een datalek voor een organisatie?

Je bent als verwerkingsverantwoordelijke aansprakelijk voor alle persoonsgegevens binnen jouw bedrijf. Dit betekent dat je zowel boetes van toezichthouders als schadeclaims van gedupeerden kunt krijgen.

De Autoriteit Persoonsgegevens kan forse boetes opleggen bij een datalek. Deze boetes kunnen oplopen afhankelijk van de ernst van de overtreding en de omvang van het datalek.

Klanten en andere partijen die schade hebben geleden kunnen jou juridisch aansprakelijk stellen. Je moet deze schade mogelijk vergoeden, ook als de hack door een externe partij werd uitgevoerd.

Hoe wordt aansprakelijkheid vastgesteld na een cyberaanval?

De aansprakelijkheid hangt af van jouw rol in de gegevensverwerking. Als verwerkingsverantwoordelijke ben je eindverantwoordelijk voor de beveiliging, zelfs als je met externe partijen werkt.

Rechtbanken kijken naar welke beveiligingsmaatregelen je had genomen. Ze beoordelen of je aan jouw zorgplicht hebt voldaan en of je adequate bescherming hebt geboden.

Bij het gebruik van clouddiensten ben je zelf verantwoordelijk voor het IT-beheer en de beveiliging van jouw omgeving. De leverancier of distributeur van deze diensten draagt geen automatische verantwoordelijkheid voor monitoring of beveiliging.

Welke maatregelen moeten bedrijven nemen om aan de AVG te voldoen bij cybersecurity?

Je moet passende technische en organisatorische maatregelen treffen. Dit omvat het beveiligen van toegang tot systemen met bijvoorbeeld multifactorauthenticatie voor beheerders.

Documenteer welke beveiligingsmaatregelen je hebt genomen. Dit helpt bij het aantonen dat je aan jouw zorgplicht hebt voldaan mocht er toch een incident plaatsvinden.

Zorg voor regelmatige monitoring van jouw systemen. Ongebruikelijk hoog dataverbruik of andere afwijkingen kunnen wijzen op een hack en vereisen directe actie.

Wat zijn de meldingsplichten voor bedrijven bij een datalek volgens de Nederlandse wet?

Je bent verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens binnen 72 uur na ontdekking. Deze plicht geldt alleen als het onwaarschijnlijk is dat het lek nadelige gevolgen heeft voor betrokkenen.

Je moet per geval beoordelen of het datalek gemeld moet worden. Leg deze beoordeling goed vast om aan te tonen waarom je wel of niet hebt gemeld.

Bij ernstige datalekken moet je ook de gedupeerden zelf informeren. Dit geldt vooral wanneer het lek waarschijnlijk ernstige gevolgen heeft voor hun privacy.

Hoe kunnen verantwoordelijkheden voor cybersecurity worden verdeeld tussen stakeholders?

Je moet verantwoordelijkheden contractueel helder vastleggen. Maak concrete afspraken over wie welke beveiligingsmaatregelen moet treffen en wie monitort op afwijkingen.

ICT-leveranciers die clouddiensten doorverkopen blijven zelf verantwoordelijk voor beveiliging van hun klanten. Een distributeur heeft vaak geen toegang tot jouw cloudomgeving en kan deze technisch niet beheren.

Ook als je gebruikmaakt van externe partijen, blijf je als verwerkingsverantwoordelijke aansprakelijk. Externe partijen kunnen aanvullende beveiligingsmaatregelen bieden, maar zij nemen jouw verantwoordelijkheid niet over.

Wat zijn de consequenties voor bedrijven die nalatig blijken in het beschermen van klantgegevens?

Je krijgt mogelijk hoge boetes van de Autoriteit Persoonsgegevens. Deze toezichthouder beoordeelt of je voldoende beveiligingsmaatregelen had getroffen.

Gedupeerden kunnen schadeclaims indienen voor financiële en immateriële schade. Je moet deze schade vergoeden als wordt vastgesteld dat je nalatig bent geweest.

Onder de NIS-2-richtlijn kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Dit gebeurt als de organisatie nalatig is geweest in het nemen van adequate beveiligingsmaatregelen.

Juridische hulp nodig?

Neem contact op met Law & More voor deskundig advies over uw juridische zaken. Ons meertalige team staat klaar om u te helpen.

Boek consultatie
+31 40 369 06 80

Juridische hulp nodig?

Neem contact op met Law & More voor deskundig advies over uw juridische zaken. Ons meertalige team staat klaar om u te helpen.

Boek consultatie
+31 40 369 06 80
Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from - Youtube
Vimeo
Consent to display content from - Vimeo
Save
Scroll to Top