Grote datalekken zetten wetten inzake de bescherming van werknemersgegevens in de schijnwerpers

Het lijkt wel alsof we bijna elke week horen over een grootschalig nieuw datalek, waardoor duizenden mensen hun persoonlijke en vertrouwelijke gegevens kwijt kunnen raken aan een anonieme hacker aan de andere kant van de wereld.

Een snelle zoekopdracht op internet naar het laatste nieuws over datalekken onthult de enorme hoeveelheid informatie die dagelijks wordt gehackt of gelekt, variërend van onze burgerservicenummers en bankrekeningnummers tot beschermde gezondheidsinformatie, onze consumentenvoorkeuren en meer.  En waar datalekken zijn, zijn natuurlijk ook rechtszaken. Deze week nog heeft het Seventh Circuit Court of Appeals (dat Illinois, Indiana en Wisconsin bestrijkt) een uitspraak gedaan in het voordeel van de eisers in een collectieve rechtszaak van consumenten, waarbij de vermeende hack leidde tot de openbaarmaking van namen van klanten, creditcard- en debetkaartnummers, vervaldata en pincodes.

Maar niet alleen consumentengegevens lopen gevaar – ook werkgevers verzamelen en bewaren dezelfde soort gevoelige informatie en gegevens over hun werknemers, die vaak het onderwerp zijn van een datalek. Verlies van controle over die werknemersgegevens kan een aanzienlijk negatief effect hebben op de geloofwaardigheid en het bedrijfsresultaat van een werkgever.

Staatswetgevers nemen nota van de risico's en er verschijnen overal in het land allerlei nieuwe wetten op het gebied van gegevensprivacy. We hebben eerder geschreven over enkele bestaande wetten die van invloed zijn op de manier waarop werkgevers biometrische gegevens van werknemers verzamelen en bewaren, zoals vingerafdrukken en gezichts- of retinale scans. De reikwijdte van de informatie die onder de bescherming van de nieuwe wetten valt, wordt echter steeds groter, evenals de kennisgevingsvereisten en sancties voor niet-naleving. Om naleving en bescherming van zowel werknemers- als consumentengegevens te waarborgen, moeten werkgevers daarom kennis nemen van de volgende staatswetten die in 2018 van kracht worden:

• Alabama (van kracht sinds 1 juni 2018): De Data Breach Notification Act (wet inzake melding van datalekken) van de staat is van toepassing op elke persoon of entiteit die gevoelige persoonlijk identificeerbare informatie over inwoners van Alabama gebruikt, waaronder volledige socialezekerheidsnummers, rijbewijsnummers, paspoortnummers, militaire identiteitsnummers of andere unieke identificatienummers die op overheidsdocumenten zijn vermeld, financiële rekeningnummers, medische geschiedenis, informatie over ziektekostenverzekeringen, persoonlijke gebruikersnamen en wachtwoorden, enz. De wet vereist ook dat personen van wie de beschermde gegevens zijn gehackt, hiervan op de hoogte worden gesteld.
• Delaware (van kracht sinds 14 april 2018): De wetgeving inzake datalekken van Delaware is van toepassing op alle entiteiten die zaken doen in de staat. De wetgeving wijzigde de bestaande wetgeving om de definitie van beschermde persoonlijke informatie uit te breiden met biometrische gegevens (bijv. vingerafdrukken, retinale scans, enz.) en andere gezondheidsinformatie, en legde een meldingsplicht van 60 dagen op na een datalek.
• Oregon (van kracht sinds 2 juni 2018): De wet inzake gegevenslekken in Oregon, die van toepassing is op entiteiten die persoonlijke informatie over inwoners van Oregon verzamelen, is gewijzigd om biometrische en gezondheidsinformatie op te nemen als gegevens die door de wet worden beschermd, en vereist dat een lek binnen 45 dagen na ontdekking aan de betrokken persoon of personen wordt gemeld.
• South Dakota (van kracht sinds 1 juli 2018): De wet inzake gegevenslekken van South Dakota is van toepassing op elke persoon of entiteit die zaken doet in South Dakota en die "eigenaar is van of een licentie heeft voor" geautomatiseerde persoonlijke of beschermde informatie van inwoners van South Dakota. De wet beschermt een breed scala aan informatie, waaronder "identificatienummers die door de werkgever aan een persoon zijn toegekend in combinatie met een vereiste beveiligingscode, toegangscode, wachtwoord of biometrische gegevens". Melding van een inbreuk op dergelijke gegevens is vereist binnen 60 dagen na de inbreuk, met boetes tot $ 10.000 per dag per overtreding bij niet-naleving.

Bovendien leggen nieuwe wetten werkgevers die zaken doen in Canada een boete op van 100.000 dollar per persoon per dag aan elke betrokken entiteit, waaronder banken, telecommunicatie- en omroepbedrijven en transportbedrijven, voor het niet voldoen aan de federale vereisten inzake kennisgeving van inbreuken.

En natuurlijk stelt de veelbesproken Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, die van toepassing is op bedrijven die de persoonsgegevens van Europese burgers monitoren of verwerken, strenge eisen aan de manier waarop dergelijke persoonsgegevens worden verzameld, opgeslagen en bewaard.

Kortom, aangezien bijna alle werkgevers ten minste enige informatie verzamelen en bewaren die onder de bescherming valt van het groeiende aantal wetten inzake gegevensbescherming wereldwijd, is het belangrijk om te begrijpen welke gegevens worden beschermd, welke verplichtingen werkgevers hebben met betrekking tot de verzamelde gegevens en, in geval van een inbreuk, hoe en wanneer de betrokken personen op de hoogte moeten worden gebracht.