Dat een datalek ernstige gevolgen kan hebben voor een bedrijf of overheidsinstelling, daarover schreef ik al eerder. De vraag is niet zozeer of uw bedrijf met een datalek geconfronteerd wordt, maar wanneer. Want hoe goed uw beveiliging ook is en hoe waterdicht uw interne procedures ook lijken te zijn, meer dan 80 procent van alle datalekken wordt veroorzaakt door werknemers. Een tas met dossiers die vergeten wordt in de trein, of de zoekgeraakte USBstick met klantgegevens. Het kan iedereen overkomen.
Reputatieschade In dat geval is het belangrijk dat u weet wat u moet doen. Is het een datalek in de zin van de wet? Moet u het melden bij de toezichthouder en/of de betrokkenen? Allemaal vragen waar u snel antwoord op moet hebben. In mijn praktijk word ik dan ook vaak ingeschakeld als sprake is van een vermeend datalek. De schade die bedrijven leiden, kan bestaan uit reputatieschade. U kunt zich voorstellen dat het erg vervelend is als een betrokkene de media opzoekt en het datalek openbaar maakt. Het beperken van die reputatieschade is lastig.
Wat is de Wet openbaarheid van bestuur? Waar echter nog weinig aandacht aan is besteed, is Wet openbaarheid van bestuur (Wob) en de impact ervan als mogelijk gevolg van een datalek. De Wob creëert een mogelijkheid voor burgers en bedrijven om informatie op te vragen bij de overheid over dienst handelen. Bij een datalek van een gemeente bijvoorbeeld, kan een Wob-verzoek worden ingediend bij het college van B&W. De gedachte achter de Wob is dat burgers moeten kunnen deelnemen aan democratie en besluitvorming door de overheid. Overheidsinformatie is in principe openbaar, tenzij de Wob of andere wetgeving bepaalt dat de gevraagde informatie niet geschikt is om openbaar te maken.
De toezichthouder als overheidsorgaan De Autoriteit Persoonsgegevens (AP), toezichthouder op onder meer datalekken, is een zelfstandig bestuursorgaan. In sommige gevallen dient een datalek te worden gemeld bij de toezichthouder. Dat betekent dat burgers of bedrijven bij de AP op grond van de Wob een verzoek kunnen doen om overheidsinformatie. Toen de wetgeving datalekken in de Kamer besproken werd, zijn er al vragen gesteld over de impact van de Wob. De VVD-fractie voorzag een spagaat voor bedrijven: aan de ene kant het risico van de Wob bij het melden van een datalek en aan de andere kant het risico van een boete wanneer een datalek ten onrechte niet zou worden gemeld.
Volgens de regering was er echter een gering risico dat de Wob tot gevolg zou hebben dat (gevoelige) informatie over datalekken naar buiten zou komen. De regering verwees naar de gronden in de Wob die de basis zouden vormen voor de AP om het delen van informatie over de meldingen van datalekken en haar handelen daarin te weigeren. Een overheidsinstantie hoeft de informatie niet openbaar te maken op het moment dat bijvoorbeeld de veiligheid van de Staat of bescherming van de persoonlijke levenssfeer in het geding zijn.
De beleidsregels openbaarmaking Inmiddels is de datalekkenwetgeving alweer negen maanden oud. Tijd om de balans op te maken. Want een bedrijf kan ook reputatieschade leiden als informatie over bijvoorbeeld het aantal meldingen of de aard van de meldingen die hij heeft gedaan bij de AP naar buiten komt. Hoe gaat de AP daarmee om? Op 12 januari 2016 zijn de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens gepubliceerd. Hierin is opgenomen dat de AP uit eigen beweging informatie over onder meer het beleid openbaar maakt. De AP heeft als toezichthouder ook een rol om betrokkenen te informeren over datalekken die voor hen mogelijk gevolgen kunnen hebben. Je kunt op grond van een Wob een verzoek doen om informatie bij de AP, maar op grond van de Beleidsregels verschaft de AP als dat strookt met een van de weigeringsgronden die ik eerder besprak.
Wat opvallend is in de Beleidsregels, is de volgende bepaling: “Namen van verantwoordelijken resp. van de onderzochte (rechts)persoon worden door de Autoriteit Persoonsgegevens niet aangemerkt als (bedrijfs)vertrouwelijke gegevens, tenzij de Autoriteit Persoonsgegevens op zwaarwichtige gronden anders beslist.” Dat betekent dat de AP wel bekend zou maken welke bedrijven een datalek hebben gemeld bij de AP. Dat kan in het kader van reputatieschade al van belang zijn.
Als de verantwoordelijke een overheidsorgaan is Als sprake is van een datalek bij een gemeente, dan heeft de Wob een andere toepassing. De Telegraaf bijvoorbeeld heeft op grond van een Wob-verzoek naar aanleiding van een datalek bij de gemeente Utrecht meer informatie ontvangen over de omvang van het datalek. Het college van B&W van de gemeente Utrecht was verantwoordelijke in de zin van de Wet bescherming persoonsgegevens voor de persoonsgegevens die waren gelekt. Zij reageren dan vanuit een eigen positie op een Wob-verzoek, in tegenstelling tot de toezichthouder AP die geen verantwoordelijke is voor de persoonsgegevens waarvan een datalek bij de toezichthouder wordt gemeld. Een wezenlijk verschil.
Conclusie De Wob biedt een escape voor overheidsorganen, een aantal weigeringsgronden op grond waarvan de toezichthouder bijvoorbeeld geen informatie openbaar hoeft te maken. De AP heeft er zelf voor gekozen in de Beleidsregels om namen van verantwoordelijken niet te kwalificeren als gevoelige informatie, waaruit ik afleid dat die informatie dus sowieso openbaar gemaakt kan worden. Daar schuilt een risico in het kader van reputatieschade naar aanleiding van een datalek.
Wat moet u doen? Als bedrijf of overheidsinstantie is het voornaamste dat u zorgt dat u de beveiliging en interne procedures op orde heeft. Zorg ervoor dat uw medewerkers opgeleid zijn, dat zij mogelijke datalekken weten te herkennen en weten waar zij dit moeten melden intern. Laat een specialist vervolgens beoordelen of sprake is van een datalek en of u dit moet melden. Een datalek voorkomen kunt u niet, maar als de toezichthouder een onderzoek naar u start, is het wel van belang dat u kunt laten zien wat u allemaal gedaan heeft om het te voorkomen.