Praktijkgebieden: Privacy
In onze bijdrage van afgelopen maandag gaven wij een beknopt overzicht van de richtsnoeren van het CBP voor het (al dan niet) melden van datalekken. Vandaag de eerste toelichting op de inhoud van de richtsnoeren: wat is eigenlijk precies een datalek?
Veel mensen denken bij dit begrip direct aan het “op straat komen liggen van data” als gevolg van de activiteiten van hackers. En terecht: als de betreffende data (mede) persoonsgegevens bevatten is zoiets zeker een datalek. Maar het begrip is aanzienlijk ruimer. Zo is er ook een datalek als één van uw medewerkers een USB-stickje met de onversleutelde loonadministratie in de trein laat liggen. Of als het datacentrum waar uw cloudserver staat afbrandt en u hebt geen backup. Ja, er is zelfs al een datalek (zo zeggen althans de richtsnoeren letterlijk) bij het verzenden van een e-mail waarbij de mailadressen van alle geadresseerden voor alle andere geadresseerden zichtbaar zijn. Dat laatste voorbeeld is ons overigens iets te ongeclausuleerd opgenomen; natuurlijk zijn hier alleen (bulk-)adresseringen bedoeld, waar de geadresseerden elkaar(s emailadres) nog niet kenden.
Zoals in de vorige aflevering al gemeld, is een datalek volgens de (vernieuwde) Wbp “een inbreuk op de beveiliging als bedoeld in artikel 13”, dat wil zeggen: op de beveiliging die de persoonsgegevens moet beschermen tegen verlies of onrechtmatige verwerking. Volgens de richtsnoeren moet de verantwoordelijke zich in probleemsituaties dan ook allereerst afvragen: “zijn er persoonsgegevens blootgesteld aan verlies of aan onrechtmatige verwerking?” Zo nee: dan is er niets aan de hand. Zo ja: dan moet de tweede vraag zijn: “Kan ik redelijkerwijs uitsluiten dat er (daadwerkelijk) persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt?” Zo ja: alsnog niets aan de hand. Zo nee: dan is er dus sprake van een datalek.
We sluiten weer even aan bij het voorbeeld van de USB-stick met de loonadministratie in de trein. Hier moet de eerste vraag met ja worden beantwoord: er zijn persoonsgegevens blootgesteld aan verlies of aan onrechtmatige verwerking. Maar als het ging om een kopie van de administratie van de harde schijf van de HR-medewerker en als de USB stick bovendien goed is versleuteld, kan ook de tweede vraag met ja worden beantwoord. Er is dan immers niets verloren gegaan (er is een back-up) en er kan ook geen onrechtmatige verwerking plaatsvinden (door de goede versleuteling kan niemand erbij). Kortom: er kan redelijkerwijs worden uitgesloten dat er verlies of onrechtmatige verwerking heeft plaatsgevonden.
Dat laatste geldt bijvoorbeeld ook als is komen vast te staan dat een medewerker een wachtwoord heeft gelekt, maar dat wachtwoord vervolgens snel is gewijzigd, terwijl uit logbestanden kan worden vastgesteld dat er intussen geen ongeoorloofde toegang is geweest tot het systeem. Ook dan: geen datalek.
Pas als op grond van de beantwoording van de twee vragen moet worden vastgesteld dat er sprake is van een datalek komt mogelijk de verplichting tot melding bij het CBP aan de orde. En in sommige gevallen moet dan bovendien aan de betrokkenen (degenen wier persoonsgegevens het betreft) worden gemeld. Daarover gaan de volgende bijdragen in deze serie.
Overzicht van de andere afleveringen van deze serie
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.