Informatieplicht bij computerinbraak?

 

In de Verenigde Staten wordt een wet gestemd die ondernemingen
verplicht omzichtiger om te gaan met
de persoonsgegevens van hun klanten. Een van de belangrijkste
verplichtingen wordt dat een onderneming
onmiddellijk zijn klanten moet verwittigen wanneer mogelijk
persoonsgegevens werden gelekt.

Het voornaamste doel van de Data Accountability and
Trust Act, of kortweg DATA-Act, is om identiteitsdiefstal
tegen te gaan. Volgens de Amerikaanse overheid kostte
deze vorm van criminaliteit in 2005 de Amerikaanse
markt immers meer dan 64 miljard dollar.

Elke onderneming die persoonsgegevens opslaat, moet
een interne informatieveiligheidsadviseur aanduiden die waakt over alle wettelijke
verplichtingen. Zo moet de onderneming een openbaar veiligheidsbeleid ontwikkelen,
waarin staat uitgelegd op welke wijze de persoonsgegevens worden verzameld
en gebruikt. Het bedrijf moet ook meedelen welke veiligheidsmaatregelen zijn
getroffen.

Een van de meest opvallende verplichtingen is dat de onderneming elk
individu persoonlijk moet verwittigen wanneer er mogelijk persoonsgegevens zijn
gelekt. Wanneer de gestolen informatie geëncrypteerd was, geldt de informatieplicht
echter niet. Tenminste, voorzover de encryptiesleutels niet werden gecompromitteerd
en de encryptie voldoende sterk is.

Op het eerste zicht lijkt deze nieuwe wet een zware verplichting voor de ondernemerswereld.
Toch zijn de ondernemingen niet geheel gekant tegen de wetgeving.

Als ze zich aan de regels houden, kunnen ze immers niet meer tot schadevergoeding
worden gedwongen. In het verleden ontvingen bedrijven zoals Checkpoint en Lexis-
Nexis claims van meer dan 15 miljoen dollar na diefstal van persoonsgegevens.

Ook in België moeten ondernemingen omzichtig omspringen met de persoonsgegevens
die ze verwerken. De wet tot bescherming van de persoonlijke levenssfeer, ook
wel de privacywet genoemd, verplicht iedereen die persoonsgegevens van anderen
verzamelt en verder verwerkt om deze gegevens op een veilige wijze te behandelen.

Of het nu over een handelaar of een klant gaat, vanaf het moment dat de informatie
betrekking heeft op een individu, is deze informatie beschermd. De maatregelen
moeten een ‘passend’ veiligheidsniveau garanderen. Hierbij moet men enerzijds
rekening houden met de stand van de techniek en de kosten voor het toepassen
van de maatregelen en anderzijds met de aard van de gegevens en de mogelijke
risico’s.

De privacywet verplicht niet uitdrukkelijk om slachtoffers bij gegevensverlies of
diefstal te verwittigen, maar doet dit wel op een impliciete wijze. Immers, degene
die verantwoordelijk is voor de verwerking van de persoonsgegevens, is in principe
aansprakelijk voor de schade die voortkomt uit een schending van de privacywet.

Indien je als verantwoordelijke de grootheid van de schade wil beperken, doe je er
dus best aan de slachtoffers zo snel mogelijk te waarschuwen. Voor ondernemingen
die actief zijn in de communicatiesector, zoals internetproviders en telecomoperatoren,
bestaat er wel al een wet die verplicht om de abonnees te verwittigen
van zodra de veiligheid van het netwerk in gevaar is.

Beveiligen dus, die persoonsgegevens! En mocht er dan toch nog een lek in je beveiliging
zitten, doe je er best aan de mogelijke slachtoffers hiervan op de hoogte
te stellen.

Patrick Van Eecke is advocaat, gespecialiseerd in IT-recht. Hij doceert tevens aan Universiteit Antwerpen, Queen Mary University en King’s College in Londen.

blogbusinessitprofessionalpersoonsgegevensprivacywet

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600