Datastoring of gegevenslek in de webwinkel – wat te doen?

Vanwege het gevaar dat dreigt door gegevensleks zijn online-winkeliers verplicht, zulke storingen resp. gegevenslekkages door passende maatregelen tegemoet te treden

Datastoring of gegevenslek in de webwinkel – wat te doen?

In geval van een datastoring of een gegevenslek in de webwinkel, teweeggebracht  door menselijk falen of onvoldoende technische resp. organisatorische maatregelen op ICT-gebied, is mogelijkerwijs de bescherming van persoonsgegevens niet meer gewaarborgd.

En dit kan leiden tot verlies van persoonsgegevens. Maar het kan er bovendien toe leiden, dat deze persoonsgegevens toegankelijk worden voor onbevoegden. Hierdoor is het mogelijk dat de rechten van sommige, wellicht ook veel klanten worden geschonden.

Vanwege het gevaar dat hierdoor dreigt zijn online-winkeliers dan ook verplicht, zulke storingen resp. gegevenslekkages door passende maatregelen tegemoet te treden. Hoe pak je dat aan als webwinkelier? Een waterdichte versleuteling is in dit geval de oplossing. Ook kunnen geschikte firewalls resp. het gebruik van passwords de toegang door onbevoegde derden beletten. Maar wat te doen, als ondanks alle technische en organisatorische voorzorgsmaatregelen er toch een storing de kop op steekt?

Melden, documenteren, informeren

  • Dan is spoed geboden, want de “Duitse AVG”, de Datenschutz-Grundverordnung (DS-GVO) bepaalt, dat de verantwoordelijke van de webwinkel binnen 72 uur, nadat hij van de storing heeft vernomen, deze aan de bevoegde toezichthoudende instantie moet melden. Hierbij is altijd de toezichthoudende instantie van de deelstaat bevoegd, waar de online-handelaar zijn zetel heeft.
  • Daarnaast moet de verantwoordelijke onmiddellijk al het in zijn macht staande ondernemen, om het probleem op te lossen.
  • Daarnaast is de verantwoordelijke verplicht een gedetailleerd dossier op te stellen, waarin alle feiten zijn opgenomen, hoe het probleem is ontstaan, welke gevolgen het probleem – ook voor de betrokken personen – heeft en hoe hij denkt het probleem op te lossen.
  • Van belang is het ook nog dat de verantwoordelijke van de webwinkel alle concreet betrokken personen m.b.t. het probleem informeert, mocht de datastoring een verhoogd risico met zich mee brengen, waardoor de rechten en vrijheden van de betrokken klanten nadelig beïnvloed zouden kunnen worden. Dit is het geval, wanneer bijv. de betaalgegevens van klanten in het geding zijn. De verplichting zijn klanten met spoed te verwittigen kan overigens komen te vervallen, als de webwinkelier er onmiddellijk in slaagt, door geschikte technische en organisatorische beveiligingsmaatregelen onbevoegde derden de toegang te beletten en aan te tonen, dat het verhoogde risico voor de personen in kwestie hoogstwaarschijnlijk niet meer bestaat.

Heeft u vragen over de implicaties van de “Duitse AVG”, neem dan contact op met Dr. Romy Latka.

 

  • gepubliceerd : dinsdag, 13 november 2018