Dienstverlening
Rechtsgebieden
Arbeidsrecht
Bouwrecht
Erfrecht
Fusies en overnames
Huurrecht
ICT-recht
Insolventie en herstructurering
Intellectueel eigendomsrecht
Omgevings- en bestuursrecht
Ondernemingsrecht
Pensioenrecht
Privacyrecht
Vastgoedrecht
Verzekeringsrecht
Onderwerpen
Contracten
Geschillen
Juridische procedures
Samenwerkingsvormen
Second opinion
WHOA
Producten
Beleid meldplicht datalekken
Beleid rechten betrokkenen
Check arbeidsovereenkomst
Geheimhoudingsovereenkomst
Intern privacybeleid
Werkingssfeeronderzoek
> Alle producten
Downloads
AI op de werkvloer checklist
Stappenplan overlast huurders
Turboliquidatie whitepaper
WHOA checklist
> Alle downloads
Onze mensen
Actueel
Over JPR
Algemene informatie
De nieuwe advocaten
Detachering
Historie sinds 1899
Hoogleraren en adviseurs
Kosten en tarieven
Nieuwsbrief
Sustainable development goals
Events
Werken bij
Contact
Dienstverlening
Rechtsgebieden
Arbeidsrecht
Bouwrecht
Erfrecht
Fusies en overnames
Huurrecht
ICT-recht
Insolventie en herstructurering
Intellectueel eigendomsrecht
Omgevings- en bestuursrecht
Ondernemingsrecht
Pensioenrecht
Privacyrecht
Vastgoedrecht
Verzekeringsrecht
Onderwerpen
Contracten
Geschillen
Juridische procedures
Samenwerkingsvormen
Second opinion
WHOA
Producten
Beleid meldplicht datalekken
Beleid rechten betrokkenen
Check arbeidsovereenkomst
Geheimhoudingsovereenkomst
Intern privacybeleid
Werkingssfeeronderzoek
> Alle producten
Downloads
AI op de werkvloer checklist
Stappenplan overlast huurders
Turboliquidatie whitepaper
WHOA checklist
> Alle downloads
Onze mensen
Actueel
Over JPR
Algemene informatie
De nieuwe advocaten
Detachering
Historie sinds 1899
Hoogleraren en adviseurs
Kosten en tarieven
Nieuwsbrief
Sustainable development goals
Events
Werken bij
Contact
Ondernemingsrecht Intellectueel Eigendom, ICT en Privacy
19 januari 2016

Risico op reputatieschade bij melden datalek?

JPR advocaten
Reputatieschade bij melden datalek? | JPR Advocaten

Bedrijven met een vermoedelijk datalek moeten dit sinds kort melden bij de Autoriteit Persoonsgegevens. Het is de vraag of Nederlandse bedrijven die datalekken melden hierdoor kans lopen op reputatieschade. In dit artikel zal nader worden ingegaan op de vraag of de Autoriteit verplicht of bevoegd is onderzoeksbevindingen te publiceren.

Verplichting tot openbaarmaking

Op dit moment is er geen wettelijke verplichting voor de Autoriteit Persoonsgegevens om onderzoeksbevindingen openbaar te maken. In lijn met de Wet openbaarheid van bestuur (Wob) en de Beleidsregels van de Autoriteit Persoonsgegevens heeft de voorzitter van de Autoriteit wel voorgesteld deze verplichting in te voeren. De Minister van Veiligheid en Justitie heeft hierover gesteld dat er medio 2016 een onderzoek zal plaatsvinden naar de meerwaarde van een dergelijke wettelijke bepaling.

Beleid Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens neemt alle meldingen van datalekken op in een register. Dit register is niet openbaar. De Autoriteit Persoonsgegevens kan wel een onderzoek starten naar aanleiding van een gemeld lek, waarbij er in dat kader wel bedrijfsnamen en namen van verantwoordelijken van de (rechts)persoon kunnen worden gepubliceerd. Er wordt hierbij wel een uitzondering gemaakt voor bedrijven waarvan de naam van een natuurlijk persoon deel uitmaakt van de bedrijfsnaam: in dat geval wordt de bedrijfsnaam in beginsel niet gepubliceerd. Daarnaast houdt de Autoriteit Persoonsgegevens rekening met zwaarwegende gronden die voor een publicatie in de weg staan.

Europese Privacyverordening

De Nederlandse Autoriteit Persoonsgegevens krijgt met de aankomende Europese Privacyverordening niet alsnog de verplichting om de gemelde datalekken en al haar bevindingen te publiceren. Echter, de nationale wetgever is wel bevoegd om regels in te stellen die de Autoriteit alsnog verplichten om de namen van bedrijven die een datalek hebben gemeld te publiceren.

Intern beleid bedrijven

Op grond van artikel 34a lid 8 van de Wet Bescherming Persoonsgegevens (Wbp) moeten bedrijven intern een register bijhouden waarin alle interne datalekken worden opgenomen. Dit protocol heeft als doel het toezicht van de Autoriteit Persoonsgegevens te ondersteunen. De Staatssecretaris van Veiligheid en Justitie stelt hierover in de Memorie van Toelichting van de Wet Meldplicht Datalekken dat dit protocol niet de functie heeft van een openbaar register, omdat de belangen van beveiliging en de daarmee gemoeide investeringen voor openbaarmaking in de weg staan.

Conclusie

Het register van de Autoriteit Persoonsgegevens waarin wordt bijgehouden welke bedrijven een datalek hebben gemeld is niet openbaar. Namen van bedrijven met een datalek kunnen wel worden gepubliceerd door de Autoriteit Persoonsgegevens in het kader van verder onderzoek door de Autoriteit Persoonsgegevens. Om reputatieschade te voorkomen kan worden aangeraden aan ondernemers om te investeren in compliance. Hierdoor kan de kans op schade van een datalek en de daarbij behorende kans op reputatieschade in ieder geval worden beperkt.

Heeft u vragen over compliance of de Wet Meldplicht Datalekken? Voor vragen en/of opmerkingen kunt u contact opnemen met Team Privacy van JPR Advocaten.

Gerelateerde berichten

Meld je aan voor onze nieuwsbrief

Ontvang als eerste alle relevante juridische ontwikkelingen.