De beveiligingsplicht is neergelegd in artikel 13 van de Wet bescherming persoonsgegevens (hierna: Wbp) en houdt kort gezegd in dat de verantwoordelijke de plicht heeft tot het treffen van passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Bij verlies of onrechtmatige verwerking kan worden gedacht aan de hack van speelgoedbedrijf VTech eind 2015. Door de hack van de website van VTech, bekend om zijn elektronische spellen, kwamen enorme hoeveelheden persoonlijke data (waaronder e-mailadressen, foto’s en chatgesprekken) ter beschikking van onbevoegden.

Welke beveiligingsmaatregelen in een concreet geval passend zijn is afhankelijk van de stand van de techniek, de kosten van de beveiliging en de belangen van betrokkenen. Richtlijn hiertoe is te vinden in ISO 27001. Dit is een internationale standaard voor informatiebeveiliging welke eisen specificeert voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van de IT-security van een bedrijf. ISO 27001 is algemeen toepasbaar op alle typen organisaties, met uitzondering van ondernemingen die medische gegevens verwerken. Voor ondernemingen die medische gegevens verwerken is er een specifieke internationale standaard, namelijk de NEN 7510. Deze standaard is gebaseerd op de ISO 27001, maar gespecificeerd voor de verwerking van medische gegevens en hierdoor veel strikter.

Het voldoen aan een van de bovengenoemde internationale standaarden levert een vorm van certificering op. Deze certificering leidt tot voordelen ten aanzien van het aantonen van de betrouwbaarheid van de IT-security van een onderneming, en kan bovendien dienen als bewijsvoordeel ten aanzien van de genomen passende beveiligingsmaatregelen indien er security issues ontstaan.

De zorgplicht, welke is neergelegd in artikel 14 van de Wbp, houdt in dat de verantwoordelijke toeziet op de beveiliging door de bewerker (de partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt maar niet aan zijn gezag is onderworpen). De verantwoordelijke dient hiertoe een ‘bewerkersovereenkomst’ te sluiten met de bewerker, waarin afspraken zijn gemaakt over de beveiliging en de naleving van de Wbp. De Meldplicht Datalekken is per 1 januari 2016 van kracht en houdt kort gezegd in dat indien er een ‘datalek’ is, de verantwoordelijke verplicht is dit datalek binnen 72 uur na ontdekking door de bewerker te melden bij de Autoriteit Persoonsgegevens. Een datalek is een inbreuk op de passende technische en organisatorische beveiligingsmaatregelen zoals bovenstaand omschreven.  Het niet voldoen aan de beveiligingsplicht of meldplicht van de Wbp kan sinds 1 januari 2016 door de Autoriteit Persoonsgegevens stevig worden beboet, met boetes oplopend tot €820.000,-.

De bewerker heeft ten aanzien van de bovengenoemde plichten geen directe plicht. Dit gaat echter veranderen op het moment dat de Algemene Verordening Gegevensbescherming inwerking treedt, over ongeveer twee jaar. Dit zal voor de IT-security tot gevolg hebben dat ook op de bewerker een beveiligingsplicht rust tot het nemen van passende organisatorische en technische maatregelen. Daarnaast kan bij het niet voldoen aan deze zorgplicht een boete worden opgelegd van maximaal €10.000.000 of 2% van de wereldwijde omzet van het bedrijf in kwestie.

Bij het niet voldoen aan bovengenoemde plichten loopt een bedrijf meerdere gevaren; het lijden van diverse soorten schade, zoals technische schade, bedrijfsstagnatie, reputatieschade en verlies van concurrentievoordeel. Daarnaast kunnen er aansprakelijkheidsstellingen over en weer volgen en kunnen door de Autoriteit Persoonsgegevens boetes worden opgelegd. Om aansprakelijkheidsstellingen en sanctionering te voorkomen is het van groot belang om passende beveiligingsmaatregelen te nemen en gerichte IT-security contracten af te sluiten.

Vragen?

Heeft u vragen over IT-security of de bijbehorende contracten, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht