MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Wat houdt de informatieverschaffing in die bedrijven moeten doen bij een datalek?

General Corporate

Wat houdt de informatieverschaffing in die bedrijven moeten doen bij een datalek?

Wanneer er een informatie lek plaatsvindt, kan het in sommige gevallen noodzakelijk zijn om administratieve maatregelen te nemen, zoals het doen van een melding. Naast het reageren op de overheid, is het ook noodzakelijk om op een passende manier informatie te verstrekken over ‘welke informatie’, ‘wanneer’ en ‘hoe het lek is ontstaan’.

In dit artikel leggen we uit wat bedrijven moeten doen om informatie te verstrekken in het geval van een informatie lek, gericht op de juridische afdelingen van bedrijven.

Over het verschil tussen administratieve reacties en informatiedisclosure

Als er een lek van persoonlijke informatie plaatsvindt, zal er een reactie moeten worden gegeven op administratieve regelgeving zoals de Japanse Wet op de Bescherming van Persoonsgegevens. Echter, alleen het reageren op administratieve maatregelen kan als onvoldoende worden beschouwd voor een bedrijfsreactie.

Bijvoorbeeld, als een bedrijf een informatie lek veroorzaakt, kan dit mogelijk sociale gevolgen hebben.

Bovendien, als het bedrijf beursgenoteerd is, is er een noodzaak om snel informatie te onthullen aan stakeholders zoals aandeelhouders, handelspartners en klanten.

Hoewel administratieve reacties een aspect hebben van het naleven van de wet, kan worden gezegd dat de informatiedisclosure die bedrijven uitvoeren een sterker aspect heeft van het vervullen van hun sociale verantwoordelijkheid als bedrijf dat met informatie omgaat.

Gerelateerd artikel: Wat te doen als er een lek van persoonlijke informatie plaatsvindt? Uitleg over de administratieve reactie die bedrijven moeten nemen [ja]

Gerelateerd artikel: Leren van het geval van het lek van 650.000 informatie-eenheden bij Tokken Corporation: crisismanagement en de rol van advocaten [ja]

Over tijdige openbaarmaking door beursgenoteerde bedrijven

Beursgenoteerde bedrijven zijn verplicht om informatie openbaar te maken, omdat een informatie lek een breed scala aan effecten kan hebben.

Bijvoorbeeld, in de regels voor de notering van effecten gepubliceerd door de Tokyo Stock Exchange (Japanse Tokyo Stock Exchange), zijn er bepalingen met betrekking tot tijdige openbaarmaking als volgt:

(Openbaarmaking van bedrijfsinformatie)
Artikel 402
Beursgenoteerde bedrijven moeten onmiddellijk de inhoud openbaar maken in overeenstemming met de uitvoeringsregels, in het geval dat ze voldoen aan een van de volgende items (met uitzondering van die welke voldoen aan de normen bepaald door de uitvoeringsregels en andere zaken die de beurs als onbeduidend beschouwt voor de beleggingsbeslissingen van beleggers).
(Omitted)
x Naast de feiten vermeld van a tot w, belangrijke feiten met betrekking tot het beheer, de activiteiten of het vermogen van het genoteerde bedrijf of de genoteerde aandelen, enz., die een aanzienlijke invloed hebben op de beleggingsbeslissingen van beleggers.

Tokyo Stock Exchange | Regels voor de notering van effecten [ja]

Het wordt aangenomen dat het optreden van een informatie lek overeenkomt met “belangrijke feiten met betrekking tot het beheer, de activiteiten of het vermogen van het genoteerde bedrijf of de genoteerde aandelen, enz., die een aanzienlijke invloed hebben op de beleggingsbeslissingen van beleggers”, dus het is noodzakelijk om tijdige openbaarmaking te doen.

Concreet kan worden gedacht aan het openbaar maken van de details van het opgetreden informatie lek, de omstandigheden waaronder het informatie lek plaatsvond, en de toekomstige vooruitzichten voor de reactie op het opgetreden informatie lek.

Informatieverspreiding die bedrijven vrijwillig zouden moeten doen

Informatieverspreiding die bedrijven vrijwillig zouden moeten doen

Zoals hierboven vermeld, zijn er gevallen waarin informatie wordt verspreid in overeenstemming met regels zoals de regels voor het noteren van effecten, maar bedrijven kunnen ook overwegen om vrijwillig informatie te verspreiden met het oog op risicobeheersing.

Gerelateerd artikel: Het risico van persoonlijke informatie lekken door bedrijven en schadevergoeding [ja]

In welke gevallen moet informatie worden verspreid?

Wat betreft vrijwillige informatieverstrekking, kunnen bedrijven in theorie kiezen tussen het al dan niet verstrekken van informatie.

Het is daarom belangrijk voor bedrijven om duidelijke criteria te hebben voor het al dan niet verstrekken van informatie.

Een eerste criterium kan zijn of er een reëel risico bestaat dat de schade door een informatie lek zal toenemen.

Als er daadwerkelijk een informatie lek heeft plaatsgevonden, maar er wordt geacht geen praktische impact te zijn, is de noodzaak van vrijwillige informatieverstrekking laag.

Als er vrijwillig informatie wordt verspreid wanneer er geen reëel risico is dat de schade door een informatie lek zal toenemen, kan dit juist tot verwarring leiden en de situatie verergeren.

Een tweede criterium kan zijn of er een risico bestaat dat de schade door een informatie lek zal toenemen door het openbaar maken van informatie.

Als er ondanks onvoldoende maatregelen tegen een informatie lek toch een lek plaatsvindt en dit wordt openbaar gemaakt, kan dit de aandacht trekken van mensen die proberen de informatie illegaal te verkrijgen, wat kan leiden tot verdere informatie lekken.

Als gevolg hiervan kan de schade door een informatie lek toenemen door vrijwillige informatieverstrekking, wat uiteindelijk kan leiden tot een verdere uitbreiding van inbreuken op rechten.

Echter, de bovenstaande criteria zijn niet noodzakelijkerwijs algemeen toepasbaar, en het is noodzakelijk om de criteria voor het al dan niet openbaar maken van informatie zorgvuldig te onderzoeken op een case-by-case basis en om een beslissing te nemen over de vraag of informatie al dan niet openbaar moet worden gemaakt.

Over de zaken die moeten worden onthuld

Als er informatie wordt verspreid, moet er ook zorgvuldig worden nagedacht over de zaken die moeten worden onthuld.

De zaken die moeten worden onthuld kunnen bijvoorbeeld de volgende zijn:

  • Het type informatie lek dat heeft plaatsgevonden
  • De dag waarop het bedrijf zich bewust werd van het informatie lek
  • De dag waarop het informatie lek plaatsvond
  • Hoe het bedrijf erachter kwam dat er een informatie lek was
  • De oorzaak van het informatie lek
  • De mogelijke schade veroorzaakt door het informatie lek
  • Of er een risico is op verdere schade of secundaire schade in de toekomst
  • De maatregelen die het bedrijf heeft genomen tegen het informatie lek
  • De inhoud van het onderzoek naar de oorzaak van het informatie lek
  • Of er al dan niet een rapport is ingediend bij de politie, enz.

Echter, ook wat betreft de zaken die moeten worden onthuld, kunnen de zaken die het wenselijk zijn om te onthullen variëren afhankelijk van de zaak, dus het is noodzakelijk om een individueel oordeel te vellen afhankelijk van de zaak.

Over de manier waarop informatie moet worden verspreid

De manier waarop informatie wordt verspreid kan bijvoorbeeld de volgende zijn:

  • Het plaatsen van informatie op de bedrijfswebsite
  • Het houden van een persconferentie voor de media
  • Het individueel contacteren van personen die mogelijk hun rechten en belangen geschonden zien door het lekken van informatie

De bovenstaande methoden voor het verspreiden van informatie zijn slechts voorbeelden, en het is noodzakelijk om de juiste methode te kiezen op basis van de zaak.

Punten om op te letten bij het houden van een persconferentie

Als je een persconferentie houdt, zal de inhoud van de informatieverspreiding breed bekend worden bij veel mensen. Daarom is het noodzakelijk om zorgvuldig na te denken over of het al dan niet passend is om informatie te verspreiden door middel van een persconferentie.

Bijvoorbeeld, als er geen informatie is die verder gaat dan de informatie die het bedrijf al op zijn website en dergelijke heeft onthuld, zal het houden van een persconferentie niet leiden tot het openbaar maken van nieuwe informatie. Als je een persconferentie houdt waar geen nieuwe informatie naar voren komt, kunnen mensen die de persconferentie hebben gezien de indruk krijgen dat je “niet voldoende informatie verspreidt en niet voldoet aan je verantwoordelijkheid om uit te leggen, en dat je een oneerlijk bedrijf bent”, dus je moet voorzichtig zijn.

Bovendien, wat er gezegd wordt op een persconferentie kan in feite moeilijk te herroepen of te corrigeren zijn.

Daarom is het noodzakelijk om de inhoud van wat er gezegd zal worden op de persconferentie zorgvuldig voor te bereiden, inclusief het betrekken van experts zoals advocaten, en om van tevoren te beslissen wat er gezegd zal worden.

Punten om op te letten bij het individueel contacteren van personen die mogelijk hun rechten en belangen geschonden zien door het lekken van informatie

Als het duidelijk is wie mogelijk hun rechten en belangen geschonden zien door het lekken van informatie, is het wenselijk om eerst individueel contact op te nemen met de slachtoffers voordat je de feiten van het lek openbaar maakt.

Als je eerst overgaat tot openbaarmaking voordat je individueel contact opneemt met de slachtoffers, kunnen de slachtoffers wantrouwen ontwikkelen tegenover het bedrijf en een vijandige houding aannemen.

Bovendien, zelfs als het mogelijk was om individueel contact op te nemen met de slachtoffers, kan het feit dat je eerst overgaat tot openbaarmaking leiden tot een verlies van maatschappelijk vertrouwen in het bedrijf.

Hoe kunnen bedrijven informatielekken voorkomen?

Hoe kunnen bedrijven informatielekken voorkomen?

Tot nu toe hebben we uitgelegd wat bedrijven moeten doen in termen van informatieverspreiding als er een informatielek plaatsvindt, maar het is natuurlijk belangrijk om te voorkomen dat er informatielekken ontstaan.

Artikel 23 van de Japanse Wet op de Bescherming van Persoonsgegevens (Persoonsgegevensbeschermingswet) bepaalt het volgende met betrekking tot veiligheidsmaatregelen:

(Veiligheidsmaatregelen)
Artikel 23: Een persoonlijke informatiebehandelaar moet de nodige en passende maatregelen nemen voor het voorkomen van lekken, verlies of beschadiging van persoonlijke gegevens die hij/zij behandelt, en voor andere veiligheidsbeheer van persoonlijke gegevens.

e-Gov|Persoonsgegevensbeschermingswet [ja]

Voorbeelden van veiligheidsmaatregelen kunnen onder andere de volgende zijn:

  • Opstellen van een basisbeleid voor de behandeling van persoonlijke gegevens
  • Ontwikkelen van regels voor de behandeling van persoonlijke gegevens
  • Organisatiestructuur opzetten
  • Operatie volgens de regels voor de behandeling van persoonlijke gegevens
  • Ontwikkelen van middelen om de status van de behandeling van persoonlijke gegevens te controleren
  • Opzetten van een systeem om te reageren op gevallen van informatielekken
  • Beoordeling van de status van de behandeling van persoonlijke gegevens en herziening van veiligheidsmaatregelen
  • Educatie voor werknemers die persoonlijke gegevens behandelen
  • Uitvoeren van fysieke veiligheidsmaatregelen om lekken van persoonlijke gegevens te voorkomen
  • Uitvoeren van technische veiligheidsmaatregelen om lekken van persoonlijke gegevens te voorkomen

Door het uitvoeren van dergelijke veiligheidsmaatregelen, aangepast aan de situatie van het bedrijf, kan men het risico op informatielekken verminderen.

Samenvatting: Raadpleeg een advocaat voor informatie over het openbaar maken van gegevenslekken

In dit artikel hebben we uitgelegd wat bedrijven moeten doen in termen van informatieverspreiding als er een gegevenslek optreedt, gericht op degenen in de juridische afdelingen van bedrijven.

Het is het beste als er geen gegevenslekken optreden, maar het is realistisch gezien moeilijk om 100% van de gegevenslekken te voorkomen.

Daarom is het belangrijk voor bedrijven om adequaat te reageren als er een gegevenslek optreedt.

Wat betreft de reactie op gegevenslekken, wordt een zorgvuldige overweging per geval vereist, dus we raden aan om een advocaat met gespecialiseerde kennis te raadplegen.

Informatie over onze maatregelen

Monolis Law Firm is een advocatenkantoor met hoge expertise in IT, met name internet en recht. Professionele kennis is essentieel bij het opstellen van interne regels. Ons kantoor behandelt een breed scala aan zaken, van beursgenoteerde bedrijven op de Tokyo Stock Exchange tot startende ondernemingen. Als u problemen heeft met interne regels, raadpleeg dan het onderstaande artikel.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Terug naar boven