Door een lek bij de NMBS kwam eind december 2012 een bestand met de persoonsgegevens van honderdduizenden klanten online te staan. Hoe kan de klant zich verdedigen en welke lessen moeten bedrijven uit dat voorval trekken? Jonathan Guzy & Jan Dhont, advocaten bij Lorenz, geven antwoord.
U kunt zich abonneren of uitschrijven op de nieuwsbrief door hierboven te klikken op de tab ‘registreren’ of ‘registratie wijzigen’.
De vertrouwelijke gegevens die de NMBS over haar klanten had verzameld, waren via een gewone zoekmachineopdracht toegankelijk op het internet, omdat de toegang tot die gegevens door geen enkel beveiligingsmechanisme werd afgeblokt. Zo’n datalek brengt voor de klanten reële risico’s met zich: hun gegevens kunnen worden opgehaald door zoekmachines en worden gebruikt voor marketingdoeleinden, spam, identiteitsfraude en frauduleuze bankverrichtingen.
Bij de Privacycommissie (Commissie voor de bescherming van de persoonlijke levenssfeer) liep dan ook een recordaantal van meer dan 2000 klachten van NMBS-klanten binnen. De Privacycommissie, die onder meer moet toezien op de naleving van de wet op de bescherming van de persoonlijke levenssfeer, kan echter geen dwingende maatregelen opleggen. Bij een ernstig incident waarschuwt ze de procureur des Konings, die de zaak voor de strafrechter kan brengen. In sommige landen heeft de Privacycommissie wel de bevoegdheid om straffen op te leggen.
Geldboete
Als de procureur een vervolging instelt, riskeert de NMBS een fikse strafrechtelijke geldboete, die uiteindelijk in de staatskas zal belanden. Voor klanten die een schadevergoeding willen, zit er niets anders op dan voor de rechtbank een rechtsvordering tot vergoeding van de burgerlijke schade in te leiden. De klagers zullen dan wel moeten bewijzen dat er een oorzakelijk verband is tussen de fout van de NMBS en de schade die ze hebben geleden.
Het is voor bedrijven dus belangrijk dat ze zich houden aan de wet tot bescherming van de persoonlijke levenssfeer en dat ze voldoende technische en organisatorische maatregelen treffen, om te beletten dat onbevoegden zich toegang verschaffen tot beschermde gegevens. Toegangscontrolesystemen, een firewall, een gegevensversleuteling en een segmentering van de databanken zijn absoluut noodzakelijk. Daarnaast moeten bedrijven werk maken van een duidelijk privacybeleid, waardoor de gebruikers weten welke gegevens worden verwerkt en met welk doel. Bij hun personeel moeten ze hameren op het belang van vertrouwelijkheid.
Momenteel bestaat er nog geen algemene reglementering die een lek van persoonsgegevens rechtstreeks bestraft. Maar de Europese instanties werken eraan. De bedrijven kunnen dus maar het beste voorbereid zijn.
