Wat te doen als er een datalek van persoonlijke informatie plaatsvindt? Uitleg over de administratieve maatregelen die bedrijven moeten nemen
Met de ontwikkeling van het internet en de mogelijkheid om informatie online uit te wisselen, zijn er steeds meer gevallen waarin belangrijke bedrijfsinformatie onverwacht wordt gelekt.
In recente jaren is de waarde van informatie toegenomen, en een eenmalig lek kan leiden tot een groot probleem dat het vertrouwen schaadt. Van bedrijven wordt verwacht dat zij snel en adequaat reageren in het geval van een informatie lek.
In dit artikel zullen we in detail uitleggen wat bedrijven moeten doen in het geval van een informatie lek, met een focus op administratieve reacties.
Ook bij informatie lekken is administratieve afhandeling nodig
Hoewel we het hebben over informatie lekken, verschillen de inhoud en het belang van de informatie. Administratieve afhandeling is nodig wanneer er een informatie lek plaatsvindt en persoonlijke informatie wordt gelekt.
De definitie van persoonlijke informatie is vastgelegd in artikel 2, lid 1, van de Japanse Wet op de Bescherming van Persoonsgegevens (hierna te noemen “Wet op de Bescherming van Persoonsgegevens”).
(Definitie)
e-GOV|Wet op de Bescherming van Persoonsgegevens [ja]
Artikel 2 In deze wet wordt onder “persoonsgegevens” verstaan informatie over een levend individu die voldoet aan een van de volgende criteria:
1. Informatie die een specifiek individu kan identificeren door middel van naam, geboortedatum en andere beschrijvingen in de informatie (inclusief informatie die gemakkelijk kan worden vergeleken met andere informatie en daardoor een specifiek individu kan identificeren).
2. Informatie die een persoonlijke identificatiecode bevat.
Informatie die voldoet aan de bovenstaande definitie wordt beschermd als persoonlijke informatie onder de Wet op de Bescherming van Persoonsgegevens.
Gerelateerd artikel: Wat zijn de Wet op de Bescherming van Persoonsgegevens en persoonlijke informatie? Een advocaat legt uit [ja]
Bovendien, naast administratieve afhandeling, kunnen er in sommige gevallen ook andere maatregelen nodig zijn, zoals informatieverspreiding, wanneer er een informatie lek plaatsvindt. Zie het onderstaande artikel voor meer informatie.
Gerelateerd artikel: Wat is de informatieverspreiding die bedrijven moeten doen bij een informatie lek? [ja]
Verplichting tot melden van persoonlijke informatie lekken
Bedrijven die persoonlijke informatie verwerken (Japanse ‘Persoonlijke Informatie Verwerkende Bedrijven’) hebben de plicht om de Japanse Persoonlijke Informatie Beschermingscommissie te informeren wanneer er een lek van persoonlijke informatie of een situatie waarin een lek kan optreden, plaatsvindt.
Voorheen, vóór 1 april 2022 (Reiwa 4), was het melden van een lek of mogelijke lek aan de Japanse Persoonlijke Informatie Beschermingscommissie een streven, geen verplichting. Echter, door de wijziging van de Japanse Wet op de Bescherming van Persoonlijke Informatie, is het melden aan de commissie verplicht geworden na 1 april 2022.
Met ‘Persoonlijke Informatie Verwerkende Bedrijven’ bedoelen we hier degenen die persoonlijke informatiedatabases en dergelijke gebruiken voor hun bedrijf (Artikel 16, lid 2, van de Japanse Wet op de Bescherming van Persoonlijke Informatie). Echter, overheidsinstellingen, lokale openbare entiteiten, onafhankelijke administratieve instellingen en lokale onafhankelijke administratieve instellingen zijn niet inbegrepen.
‘Persoonlijke informatiedatabases en dergelijke’ verwijst naar verzamelingen van informatie die persoonlijke informatie bevatten en die voldoen aan een van de volgende twee vereisten, met uitzondering van die welke bij kabinetsorder zijn bepaald als zijnde weinig waarschijnlijk om de rechten en belangen van individuen te schaden (Artikel 16, lid 1, van de Japanse Wet op de Bescherming van Persoonlijke Informatie):
- Een systeem dat specifieke persoonlijke informatie kan opzoeken met behulp van een computer
- Een systeem dat specifieke persoonlijke informatie gemakkelijk kan opzoeken
Bedrijven die persoonlijke informatiedatabases en dergelijke gebruiken voor hun bedrijf, hebben de plicht om te melden aan de Japanse Persoonlijke Informatie Beschermingscommissie.
Gerelateerd artikel: Uitleg over de aandachtspunten van de ‘Verantwoordelijkheden van de onderneming’ in de gewijzigde Japanse Wet op de Bescherming van Persoonlijke Informatie 2022 [ja]
Vier gevallen waarin melding aan de Persoonsgegevens Beschermingscommissie vereist is
Er zijn vier gevallen waarin een melding aan de Persoonsgegevens Beschermingscommissie (Japanse Autoriteit Persoonsgegevens) vereist is wanneer er een lek van persoonlijke informatie plaatsvindt, zoals bepaald in Artikel 7 van de Uitvoeringsverordening van de Wet op de Bescherming van Persoonsgegevens (Japanse Wet op de Bescherming van Persoonsgegevens).
- Wanneer er een lek van persoonlijke gegevens is opgetreden of dreigt op te treden, waarbij gevoelige persoonlijke informatie betrokken is
- Wanneer er een lek van persoonlijke gegevens is opgetreden of dreigt op te treden, dat kan leiden tot financiële schade door misbruik
- Wanneer er een lek van persoonlijke gegevens is opgetreden of dreigt op te treden, dat mogelijk met frauduleuze bedoelingen is uitgevoerd
- Wanneer er een lek van persoonlijke gegevens is opgetreden of dreigt op te treden, waarbij meer dan 1.000 individuen betrokken zijn
Hieronder leggen we deze gevallen uit.
Lek van gevoelige persoonlijke informatie
Onder “gevoelige persoonlijke informatie” verstaan we persoonlijke informatie die bijzondere aandacht vereist in de behandeling ervan om ongerechtvaardigde discriminatie, vooroordelen of andere nadelen voor de betrokkene te voorkomen, zoals ras, geloof, sociale status, medische geschiedenis, strafrechtelijke achtergrond, slachtofferschap van misdrijven, enz., zoals bepaald bij Koninklijk Besluit.
Bijvoorbeeld, informatie over de medische geschiedenis van een werknemer, zoals de resultaten van gezondheidscontroles, valt onder gevoelige persoonlijke informatie.
Lek van persoonlijke informatie die kan leiden tot financiële schade
Hier wordt bepaald dat er sprake is van een lek van persoonlijke gegevens die, indien misbruikt, kunnen leiden tot financiële schade.
Een concreet voorbeeld is wanneer een bedrijf klantcreditcardinformatie lekt.
Lek van persoonlijke informatie met frauduleuze bedoelingen
Dit is van toepassing wanneer de partij die de persoonlijke gegevens heeft gelekt, frauduleuze bedoelingen heeft.
Bijvoorbeeld, wanneer een derde partij of een werknemer van een bedrijf onrechtmatig toegang krijgt tot het netwerk van het bedrijf met het doel persoonlijke informatie te misbruiken en persoonlijke gegevens lekt.
Grootschalig lek van persoonlijke informatie
Dit is van toepassing wanneer er een lek is van persoonlijke gegevens waarbij meer dan 1.000 individuen betrokken zijn.
Voor bedrijven die grote hoeveelheden persoonlijke gegevens verwerken, is het belangrijk om op te letten voor de mogelijkheid van een grootschalig lek van persoonlijke gegevens in één keer.
Meldingsvereisten aan de Persoonsgegevens Beschermingscommissie (Japanse Persoonsgegevens Beschermingscommissie) bij informatie lekken
Wanneer een situatie zich voordoet waarin een melding aan de Persoonsgegevens Beschermingscommissie noodzakelijk is, moet er een melding worden gedaan van de zaken die zijn voorgeschreven in Artikel 8, Paragraaf 1 van de Uitvoeringsverordening van de Wet op de Bescherming van Persoonsgegevens (Japanse Wet op de Bescherming van Persoonsgegevens).
(Melding aan de Persoonsgegevens Beschermingscommissie)
e-GOV|Wet op de Bescherming van Persoonsgegevens [ja]
Artikel 8: Wanneer een persoonsgegevensverwerker een melding moet doen volgens de bepalingen van Artikel 26, Paragraaf 1 van de Wet, moet deze, na kennis te hebben genomen van de situaties zoals bepaald in de vorige paragrafen, onmiddellijk de volgende zaken melden met betrekking tot de betreffende situatie (beperkt tot de zaken die op het moment van de voorgenomen melding bekend zijn. Hetzelfde geldt voor het volgende artikel).
Als een van de vier bovengenoemde gevallen waarin een melding nodig is van toepassing is, moet de ondernemer onmiddellijk de volgende zaken melden aan de Persoonsgegevens Beschermingscommissie:
- Overzicht
- Items van persoonlijke gegevens waarbij een lek heeft plaatsgevonden of waarvan wordt gevreesd dat het heeft plaatsgevonden
- Aantal betrokken personen bij de persoonlijke gegevens waarbij een lek heeft plaatsgevonden of waarvan wordt gevreesd dat het heeft plaatsgevonden
- Oorzaak
- Of er secundaire schade of een risico daarop is en de inhoud daarvan
- Status van de reactie naar de betrokken persoon
- Status van openbaarmaking
- Maatregelen om herhaling te voorkomen
- Andere relevante zaken
Echter, het is voldoende om alleen die zaken te melden die bekend zijn op het moment van de melding.
Meldingstermijn aan de Persoonlijke Informatie Beschermingscommissie bij informatielekken
Er is een deadline vastgesteld voor het melden aan de Persoonlijke Informatie Beschermingscommissie (Artikel 8, paragraaf 2 van de Uitvoeringsverordening van de Japanse Wet op de Bescherming van Persoonsgegevens).
In principe moet de melding aan de Persoonlijke Informatie Beschermingscommissie binnen 30 dagen na het ontdekken van het lek worden gedaan. Als de entiteit die de persoonlijke gegevens heeft gelekt een onrechtmatig doel heeft, moet de melding binnen 60 dagen worden gedaan.
Verplichting tot kennisgeving aan de betrokkene
In het geval van een datalek van persoonlijke informatie, is er naast de verplichting om dit te melden aan de Japanse Autoriteit Persoonsgegevens (個人情報保護委員会), ook een verplichting om de betrokkene hiervan op de hoogte te stellen (Artikel 26, lid 2, van de Japanse Wet Bescherming Persoonsgegevens (個人情報保護法)).
De kennisgeving aan de betrokkene heeft als doel om de rechten en belangen van de betrokkene te beschermen door ervoor te zorgen dat hij of zij zo snel mogelijk kan reageren op het datalek. Daarom is het voor bedrijven die persoonlijke informatie verwerken verplicht om de betrokkene zo snel mogelijk op de hoogte te stellen.
Samenvatting: Raadpleeg een advocaat voor administratieve reacties op persoonlijke datalekken
We hebben uitgelegd wat een bedrijf moet doen als er een datalek optreedt, met de nadruk op administratieve reacties.
Voor bedrijven is het vanzelfsprekend belangrijk om systemen op te zetten die voorkomen dat er informatie lekt. Maar als er toch een lek optreedt, is het noodzakelijk om adequaat te reageren.
De Japanse Wet op de Bescherming van Persoonsgegevens wordt vaak gewijzigd en heeft een complexe structuur. Daarom raden we aan om een advocaat met specialistische kennis te raadplegen om een passende reactie te kunnen geven.
Informatie over onze maatregelen
Monolis Law Firm is een advocatenkantoor met hoge expertise in IT, met name internet en recht. Tegenwoordig is het lekken van persoonlijke informatie een groot probleem. Mocht er onverhoopt persoonlijke informatie lekken, dan kan dit een fatale impact hebben op bedrijfsactiviteiten. Ons bedrijf heeft gespecialiseerde kennis over het voorkomen van informatie lekken en de bijbehorende maatregelen. Details worden beschreven in het onderstaande artikel.