Meldplicht datalekken

Meldplicht datalekken

Op 1 januari 2016 is de zogeheten “Meldplicht Datalekken” ingegaan. Deze meldplicht is vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Het zorgt ervoor dat organisaties verplicht zijn om een melding te doen aan de Autoriteit Persoonsgegevens (voorheen bekend als het College bescherming persoonsgegevens (Cbp)) zodra zij een ernstig datalek hebben. In sommige gevallen zijn organisaties ook verplicht om het datalek te melden aan de betrokkenen van wie de persoonsgegevens gelekt zijn.

Wet bescherming persoonsgegevens

Achtergrond van deze meldplicht is het recht op privacy (of meer specifiek: het recht op eerbiediging en bescherming van de persoonlijke levenssfeer en een zorgvuldige omgang met persoonsgegevens). Het recht op privacy is uitgewerkt in de Wet bescherming persoonsgegevens. Deze wet legt organisaties die persoonsgegevens verwerken een aantal verplichtingen op. Zo moeten deze “verantwoordelijken” maatregelen nemen om de persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Een datalek moet dus voorkomen worden door daartegen maatregelen te nemen. Is er toch een datalek, dan moet dit volgens de nieuwe regels gemeld worden aan de Autoriteit Persoonsgegevens. Dat hoeft niet voor alle datalekken: er moet sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Heeft het datalek ook waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene, dan moet ook deze persoon geïnformeerd worden over het datalek.

Moet u het datalek melden?

Simpel gezegd kunt u de volgende afweging aanhouden:

    1. Is er sprake van een beveiligingsincident?

      1. Ja: ga naar stap 2.
      2. Nee: geen meldplicht datalekken.

 

    1. Zijn er persoonsgegevens verloren gegaan?

      1. Ja: ga naar stap 4 (er is sprake van een datalek).
      2. Nee: ga naar stap 3.

 

    1. Is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?

      1. Ja: ga naar stap 4 (er is sprake van een datalek).
      2. Nee: geen meldplicht datalekken.

 

    1. Heeft het datalek betrekking op gevoelige gegevens of is er om een andere reden (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?

      1. Ja: het datalek moet gemeld worden aan de Autoriteit Persoonsgegevens, ga naar stap 5.
      2. Nee: geen meldplicht datalekken.

 

    1. Waren de gelekte persoonsgegevens niet of niet goed versleuteld of zijn er om een andere reden waarschijnlijk ongunstig gevolgen voor de persoonlijke levenssfeer van de betrokkene?

      1. Ja: het datalek moet ook gemeld worden aan de betrokkene.
      2. Nee: het datalek moet alleen gemeld worden an de Autoriteit Persoonsgegevens.

 

Boete

Is de meldplicht datalekken op uw organisatie van toepassing, maar overtreedt u de regels? De Autoriteit Persoonsgegevens kan dan bestuurlijke boetes opleggen. Per 1 januari 2016 is dat maximaal EUR 820.000,- (dit bedrag wordt iedere twee jaar aangepast en kan dus in de toekomst gewijzigd worden). Heeft uw organisatie de overtreding niet opzettelijk gepleegd én is er geen sprake van een ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing moeten opleggen voordat ze eventueel een boete oplegt. Bovendien moet de Autoriteit Persoonsgegevens rekening houden met alle omstandigheden van het geval. Denk daarbij bijvoorbeeld aan de omstandigheid dat de gegevens niet door derden zijn ingezien.

Bewerkersovereenkomst

Gezien het risico op boetes is het aan te raden om met partijen die voor uw organisatie persoonsgegevens verwerken (zogenaamde bewerkers) afspraken te maken over de te nemen beveiligingsmaatregelen. Die afspraken kunnen worden neergelegd in een bewerkersovereenkomst. Sterker nog: zo’n overeenkomst is verplicht! Het is daarbij ook aan te raden om afspraken te maken over de verantwoordelijkheid voor (het in staat stellen tot) nakoming van de meldplicht datalekken. Wordt uw organisatie aangesproken, als verantwoordelijke voor de verwerking van persoonsgegevens, maar ligt de fout bij uw bewerker? Dan doet u er verstandig aan om daarover op voorhand afspraken te hebben gemaakt in de bewerkersovereenkomst, zodat eventuele u gevrijwaard bent van eventuele boetes.

Meer informatie kunt u vinden in de beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens.

Zit u in een geschil met een organisatie of met de Autoriteit Persoonsgegevens over de (niet-)nakoming van de meldplicht datalekken? Of een ander probleem met betrekking tot de bescherming van persoonsgegevens? Aarzel dan niet om gelijk contact op te nemen met privacyrecht advocaat Wouter Dammers van LAWFOX. Versleuteld mailen is mogelijk.

[maxbutton id=”4″]