Blog

Vanaf 1 januari 2016: verplichting melden datalek

28/12/2015 - IT/IE

Meldplicht datalek vanaf 1 januari 2016

Op grond (van artikel 13) van de Wet bescherming persoonsgegevens (Wbp) dienen organisaties (bedrijven én overheden) de persoonsgegevens die zij verwerken[1] te beveiligen tegen verlies en tegen onrechtmatige verwerking. Per 1 januari 2016 wijzigt de Wbp en dienen organisaties onverwijld een melding te doen bij de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens) zodra zij een ernstig datalek hebben waarbij persoonsgegevens verloren zijn gegaan. Soms moet het datalek ook gemeld worden aan degene van wie de persoonsgegevens zijn gelekt. De meldplicht is opgenomen in artikel 34a Wbp. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld voor de toepassing van de meldplicht. Om forse boetes te voorkomen, is het van belang dat u weet in welke gevallen u een datalek moet melden. In deze blog geef ik antwoord op de vragen: “Wat is een datalek?”, “Wanneer moet ik een datalek melden?” en “Wat is de rol van de Autoriteit Persoonsgegevens?”

Wat is een datalek?

Artikel 34a Wbp omschrijft een datalek als een inbreuk in de beveiliging bedoeld in artikel 13 Wbp. Deze beveiliging kan bestaan uit preventieve maatregelen, detectieve maatregelen, repressieve maatregelen en herstelmaatregelen. Een inbreuk op de beveiliging (datalek) houdt in dat zich daadwerkelijke een beveiligingsincident heeft voorgedaan. Er is geen sprake van inbreuk op de beveiliging indien er uitsluitend sprake is van een dreiging of van een tekortkoming in de beveiliging (beveiligingslek) dat zou kunnen leiden tot een beveiligingsincident. Voorbeelden van datalekken zijn een kwijtgeraakte USB-stick, een gestolen tablet, het hacken van een server, maar ook brand in een datacentrum.

Kenmerkend voor een datalek is verder dat er daadwerkelijke gevolgen zijn voor de persoonsgegevens die u verwerkt: deze zijn verloren gegaan of onrechtmatig verwerkt (aantasting, onbevoegde kennisneming, wijziging of verstrekking van persoonsgegevens). Ook wanneer u redelijkerwijs niet kunt uitsluiten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is er sprake van een datalek.

Wanneer moet ik een datalek melden?

U moet een datalek melden aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a lid 1 Wbp). Het is aan u om te bepalen of een door u ontdekt datalek binnen de reikwijdte van de meldplicht datalekken valt.

Bij de beantwoording van de vraag of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens dient u in ieder geval de aard van de getroffen gegevens te betrekken. Wanneer het bijvoorbeeld gaat om een datalek van bijzondere persoonsgegevens (godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke gegevens (artikel 16 Wbp)) of andere gegevens van gevoelige aard (o.a. gegevens over de financiële of economische situatie, inloggegevens, kopieën van legitimatiebewijzen, BSN) dan zal al snel sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

Naast de aard van de gegevens speelt ook de omvang van de inbreuk een belangrijke factor bij het bepalen van de gevolgen van het datalek. Is het datalek bovendien het gevolg van een hack dan zal er al snel sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dit is ook het geval wanneer er sprake is van een datalek van gegevens van mensen in kwetsbare groepen.

In sommige gevallen moet het datalek ook gemeld worden aan degene van wie persoonsgegevens zijn gelekt (de betrokkene). U moet hiervoor een aparte afweging maken. U hebt een meldplicht aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a lid 2 Wbp). Als er persoonsgegevens van gevoelige aard zijn gelekt (zie hiervoor), kunt u er in beginsel van uitgaan dat u het datalek aan de betrokkene moet melden. Deze meldplicht bestaat niet indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de betreffende persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden (artikel 34a lid 6 Wbp).

Als de Wbp niet van toepassing is, dan is de meldplicht datalekken uit de Wbp uiteraard ook niet van toepassing. Dit is bijvoorbeeld het geval als u voor uitsluitend persoonlijke of huishoudelijke doeleinden persoonsgegevens verwerkt (artikel 2 Wbp). Andere uitzonderingen op de meldplicht bestaan voor aanbieders van openbare elektronische communicatiediensten en voor financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (artikel 34a, leden 9 en 10 Wbp).

Wat is de rol van de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens houdt een (niet openbaar) register bij van de ontvangen datalekken. Als uit de ontvangen datalekmeldingen blijkt dat de beveiliging van persoonsgegevens mogelijk niet adequaat is, dan kan dat aanleiding zijn voor nader onderzoek naar de naleving van de beveiligingsverplichtingen uit de Wbp. Bij overtreding van de Wbp (waaronder artikel 34a), kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen van (inmiddels) maximaal € 820.000,- (artikel 66 Wbp). Indien er geen sprake is van opzet of ernstige verwijtbare nalatigheid, zal eerst een bindende aanwijzing worden gegeven.

Wilt u meer informatie over uw meldplicht voor datalekken? De advocaten van de ICT/IE-branche helpen u graag verder!

 

Kelly Felt

 

[1] Het verwerken van persoonsgegevens omvat elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 1, sub b, Wbp).

 

Contact

  • 050 314 0 840
  • [email]

Blog