Meldplicht datalekken in werking getreden

25 januari 2016

USB-stick met klantenbestand verloren? Computersysteem gehackt? Grote kans dat u dit moet melden bij de Autoriteit Persoonsgegevens en eventueel ook aan de betrokkenen.

Met ingang van 1 januari 2016 is de meldplicht voor datalekken in werking getreden. Deze meldplicht is neergelegd in het nieuwe artikel art. 34a van de Wet Bescherming Persoonsgegevens (Wbp). Tegelijkertijd is ook de naam van het College Bescherming Persoonsgegevens gewijzigd in Autoriteit Persoonsgegevens én zijn de boetebevoegdheden van de Autoriteit Persoonsgegevens aanzienlijk uitgebreid.

Wet bescherming persoonsgegevens

Persoonsgegevens
Vrijwel alle bedrijven en instellingen verwerken gegevens van werknemers, klanten,  leveranciers, etc. De Wbp heeft tot doel ´persoonsgegevens´ te beschermen. Onder die term vallen alle gegevens die het direct of indirect mogelijk maken om een individuele persoon te identificeren. Denk bijvoorbeeld aan naam, adres, e-mailadres, telefoonnummer, IP-adres, geboortedatum, klantnummer, inloggegevens of creditcardgegevens.

Passende beveiliging
De Wbp schrijft voor dat het verwerken van persoonsgegevens op een zorgvuldige manier moet gebeuren en dat voor een passende beveiliging moet worden gezorgd.

Hoe gevoeliger de persoonsgegevens, hoe hoger het beschermingsniveau moet zijn. Patiëntgegevens en financiële gegevens vergen bijvoorbeeld een zeer hoog beschermingsniveau.

De beveiliging vergt zowel technische als organisatorische maatregelen.

  • Technisch: een goede beveiliging tegen hacken en virussen, autorisaties zodat bijvoorbeeld alleen de afdeling personeelszaken toegang heeft tot personeelsdossiers, versleutelen, hashen of pseudo- of anonimiseren van bestanden, regelmatig aanpassen van wachtwoorden, etc.;

  • Organisatorisch: afsluitbare kasten/ruimtes, autorisaties, clean desk-policy, een interne privacy policy en goede instructies daarover, bewustmaking, etc.

Datalek
Helaas is de praktijk dat er, ondanks de genomen beveiligingsmaatregelen, toch geregeld persoonsgegevens in verkeerde handen terecht komen. Denk aan het incident met de laptop van een officier van justitie die uit de auto gestolen werd of de recente berichten dat in de keten van jeugdzorg vaker niet dan wel gebruik wordt gemaakt van de speciaal daarvoor in het leven geroepen beveiligde communicatiemogelijkheden (technische beveiliging). Men verkoos gemakshalve toch vaak voor verzending van persoonsgegevens via onbeveiligde e-mail (organisatorisch).

Er is sprake van een ‘datalek’ in de zin van de Wbp als er persoonsgegevens verloren zijn gegaan of als een onrechtmatige verwerking redelijkerwijs niet uit te sluiten is.

Persoonsgegevens zijn verloren als bijvoorbeeld uw computersysteem, al dan niet door een aanval van kwaadwillenden, crasht en u niet over een recente volledige back-up beschikt.

Een reëel risico van onrechtmatige verwerking bestaat als er bijvoorbeeld een malware-besmetting van uw systeem heeft plaatsgevonden, een laptop of USB-stick met persoonsgegevens gestolen of verloren is of als een van uw medewerkers zijn inlogcode aan een derde heeft verstrekt, tenzij u in het laatste geval aan de hand van logbestanden kunt uitsluiten dat er is ingelogd onder die code en de code inmiddels geblokkeerd is.

Meldplicht datalekken (art. 34a Wbp)

Vanaf 1 januari jl. moeten datalekken gemeld worden aan de Autoriteit persoonsgegevens (Apg).  Deze meldplicht geldt gelukkig niet voor ieder datalek maar voor datalekken die leiden tot (een aanzienlijke kans op) ‘ernstige gevolgen voor de bescherming van de persoonsgegevens’.

Indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene(n) moet er ook een melding worden gedaan aan de betrokkene(n).

Datalek met ernstige gevolgen voor de bescherming?
Om te beoordelen of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de gelekte persoonsgegevens moeten in ieder geval de volgende factoren in aanmerking worden genomen:

  • Hoe gevoelig zijn de gelekte gegevens? Als het gaat om gevoelige informatie, zoals medische gegevens, gegevens die identiteitsfraude mogelijk maken, creditcardgegevens of  financiële gegevens  moet er gemeld worden.
  • Hoeveel informatie is er per persoon gelekt? Hoe meer gegevens per persoon hoe eerder er gemeld moet worden.
  • Van hoeveel betrokkenen zijn gegevens gelekt? Hoe groter de groep van betrokkenen hoe eerder er gemeld moet worden.
  • Behoren de betrokkenen, of een deel ervan, tot een kwetsbare groep? Als de betrokkenen, om welke reden dan ook, kwetsbaarder zijn dan normaal, kan dat tot een meldingsplicht leiden.

Elke factor kan op zich voldoende reden voor melding zijn.

Een voorbeeldje uit de Beleidsregels van de Apg:

Een hacker weet een NAW-bestand van het dorpshuis te bemachtigen. Dit zal in de meeste gevallen niet tot een meldingsplicht leiden. Het gaat immers niet om gevoelige informatie en ook niet om een grote of een intrinsiek kwetsbare groep. Als het bestand echter is toegespitst op 65+-ers die computerles krijgen is er wel sprake van een kwetsbare groep en daarmee van een meldingsplicht.

Waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene?
Als de gelekte persoonsgegevens voor een derde ontoegankelijk of onbegrijpelijk zijn omdat deze bijvoorbeeld deugdelijk versleuteld zijn is het niet waarschijnlijk dat de betrokkene last zal hebben van het datalek. Het lek hoeft in dat geval niet gemeld te worden aan de betrokkene.

Als de gegevens echter niet versleuteld of gehashed zijn of als deze beveiliging redelijk eenvoudig te kraken is moet er wél een melding aan de betrokkenen worden gedaan.

Wie moet melden?
Deze meldplicht rust op de ‘verantwoordelijke’, oftewel degene die het doel, de omvang en de middelen van de verwerking van de persoonsgegevens bepaalt. Als u uw salarisadministratie uitbesteedt aan een extern bureau bent u de verantwoordelijke en dit bureau heet de ‘bewerker’. Als ‘verantwoordelijke’ bent u ook verantwoordelijk voor de melding van datalekken die bij uw bewerker plaatsvinden. Het is dan ook verstandig ook hierover goede afspraken te maken in de bewerkerovereenkomst.

Wanneer moet u melden?
De wet spreekt over: ‘onverwijld’. In de Beleidsregels heeft de Autoriteit dit nader uitgelegd als: zo spoedig mogelijk na ontdekking van het lek door de verantwoordelijke of de bewerker, maar in ieder geval binnen 72 uur na die ontdekking. Binnen die periode wordt u geacht te onderzoeken wat er gebeurd is, welke maatregelen er ter beperking van de schade en te voorkoming van herhaling genomen moeten worden en of er gemeld moet worden.

Boete
Wegens overtreding van de meldplicht kan de verantwoordelijke een administratieve boete worden opgelegd door de Autoriteit Persoonsgegevens. Deze boete bedraagt op dit moment max.  € 810.000,-. De Autoriteit kan ook een bindende aanwijzing opleggen.

Of er een boete wordt opgelegd of een bindende aanwijzing wordt gegeven is afhankelijk van de omstandigheden van het geval, zoals eventuele opzet of ernstige verwijtbaarheid, of er al dan niet daadwerkelijk schade uit het datalek is voortgevloeid.

Deze nieuwe boetebevoegdheid geldt overigens niet alleen voor de meldplicht datalekken maar voor alle belangrijke verplichtingen uit de Wbp!

Bewaarplicht data-lek gegevens
Als er sprake is geweest van een meldingsplichtig datalek moet u intern ook alle relevante informatie over het lek en de afhandeling en opvolging daarvan vastleggen en minimaal 1 jaar bewaren.

Meer informatie

Bovenstaande geeft de nieuwe meldplicht datalekken zeer beknopt, en daarmee ook incompleet, weer. Mocht u te maken krijgen met een datalek, dan is het (zeker gezien de korte termijn), verstandig zo spoedig mogelijk contact met PlasBossinade op te nemen.

Voor meer informatie kunt u terecht bij mr. Vivienne Verlinden.

Meer nieuws

Start chatgesprek

Medewerkers zijn nu beschikbaar

Onze medewerkers zijn nu online om uw zakelijke vragen te beantwoorden. Vul de naam van uw organisatie in en klik op "Start chat" om een chatgesprek te starten.

Sorry, de chat is momenteel niet beschikbaar