Datalekken zijn beveiligingsfouten waarbij derden toegang hebben gekregen tot gegevens, met name tot persoonlijke gegevens van gebruikers. Denk aan het stelen van een adresdatabase of het op straat (nou ja, Pastebin) komen te liggen van e-mailadressen of creditcardnummers. Dergelijke datalekken kunnen voor de betrokken personen erg vervelend zijn. Maar ook het soort datalek waarbij bedrijfsgegevens van je zakelijke klanten op straat komen te liggen, is natuurlijk bepaald onwenselijk.
Of je aansprakelijk bent voor datalekken, hangt af van het soort data dat ‘gelekt’ wordt. Specifiek als het gaat om persoonsgegevens geldt een wettelijke plicht deze adequaat te beveiligen. Word je gehackt of lek je gegevens, dan zal je moeten aantonen dat je daar niets aan had kunnen doen. Had je de hack of het lek wel kunnen voorkomen, dan ben je nalatig geweest en zul je de schade moeten vergoeden. Je algemene voorwaarden of gebruiksvoorwaarden kunnen daar niets aan veranderen.
Mogelijk dat je het feitelijk opslaan of beveiligen van gegevens uitbesteedt. Dat maakt juridisch echter niet uit. Jij bent en blijft de verantwoordelijke. Zorg er dus voor dat je met zulke partijen duidelijke afspraken maakt – een bewerkersovereenkomst – waarin je vastlegt dat je boetes en schadeclaims bij datalekken op hen mag verhalen. Omgekeerd, als mensen bij jou hun data komen opslaan, regel dan in de bewerkersovereenkomst hoe ver jouw aansprakelijkheid als bewerker zal gaan en leg vast dat je geen perfectie kunt garanderen.
Voor datalekken van bijvoorbeeld financiële bedrijfsgegevens geldt geen specifieke beveiligingsplicht. Maar het spreekt voor zich dat je klanten in die situatie dat van je zullen eisen en vooral dat ze je aansprakelijk zullen stellen als blijkt dat je niet perfect bezig was. Je aansprakelijkheid beperken in zulke situaties is mogelijk – mits de wederpartij daarmee instemt. Dat regel je dus in je gebruiksvoorwaarden.
Moet je datalekken melden? Op dit moment niet, tenzij je een telecomprovider (zoals KPN of Vodafone) bent. Er wordt zowel in Nederland als in Europa aan een algemene meldplicht gewerkt, waarbij je de toezichthouder en vaak ook de betrokken personen moet informeren als er persoonlijke gegevens gelekt of gestolen zijn. Als het lek “waarschijnlijk negatieve gevolgen” heeft voor de privacy van de betrokken personen, moet deze worden geïnformeerd. Ook de privacytoezichthouder moet op de hoogte worden gesteld. Wanneer dit van kracht wordt, is echter nog niet bekend.
Wat zijn belangrijke juridische aandachtspunten voor starters?
Je leest het in onze factsheet – Het recht voor startups!
Juridisch warenhuis JuriDox
