Dealmakers moeten in het nieuwe jaar ernstige datalekken melden bij de autoriteiten

Dealmakers moeten er vanaf 1 januari volgend jaar rekening mee houden dat zij een ernstig datalek verplicht melden bij de College bescherming persoonsgegevens (CBP). De autoriteit kan kantoren een maximale boete geven van 820.000 euro als zij een datalek ten onrechte niet melden.
Verzekeringsmakelaar en M&A Community-partner Kroller Boom waarschuwde er deze maand al voor in zijn nieuwsbrief. Het niet melden van een significant datalek kan in het nieuwe jaar een boete opleveren. Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt, schrijft Kroller Boom. De definitieve beleidsregels zijn in december definitief vastgesteld door het CPB. 
 
Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer. 
 
"De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen", dat meldde CBP-voorzitter Jacob Kohnstamm tijdens zijn speech op het congres van de Dag van de Privacy Officer. 
 
Informatie tijdens M&A-proces
M&A-professionals krijgen veel te maken met vertrouwelijke informatie. “Tijdens het M&A-traject wordt er ontzettend veel informatie uitgewisseld. En dat is vaak heel vertrouwelijke informatie van zowel de koper als de verkoper,” zei Houthoff Buruma-advocaat Thomas de Weerd afgelopen maart op een congres van DataroomServices. Het gevaar ligt constant op de loer dat deze informatie bij de verkeerde partijen terechtkomt, via een fysieke fout of een digitaal lek.
 
 
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. 
 
Paul Waszink, een expert in netwerk- en informatiebeveiliging bij Nautadutilh, zei tijdens de bijeenkomst van DataroomServices, dat het CPB niet echt boetegedreven straft. "Maar wat zij wel doen", aldus de jurist. "Is beveiligingslekken openbaar maken, en dat is natuurlijk vervelend voor de reputatie van een kantoor.” Zodoende kan een datalek betekenen dat een bedrijf de volgende deal niet mag adviseren.
 
 
Gerelateerde artikelen