De meldplicht datalekken: wat, wanneer, wie en de risico’s

09-12-2015

Op 1 januari 2016 gaat de meldplicht datalekken in. Organisaties die persoonsgegevens verwerken en constateren dat sprake is van een ernstig datalek, dienen dit dan onverwijld te melden bij het College bescherming persoonsgegevens (CBP), per 1 januari a.s. Autoriteit Persoonsgegevens genaamd. Het CBP heeft vandaag de definitieve beleidsregels over deze nieuwe meldplicht datalekken op haar website gepubliceerd.

 

Wat

Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat de verantwoordelijke de persoonsgegevens die hij verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp).

 

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

 

Wanneer

Een datalek moet door de verantwoordelijke worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

 

Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Gegevens betreffende godsdienst of bijvoorbeeld gezondheid worden als gevoelig van aard beschouwd.

 

Wie

Als sprake is van een ernstig datalek moet melding worden gedaan zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van het CBP/de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar.

 

De wet geeft aan dat tevens een melding moet worden gedaan aan de betrokkene wiens gegevens zijn gelekt, als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan zal in de regel ook betrokkene moeten worden geïnformeerd.

 

Boete

Bij overtreding van de meldplicht datalekken uit de Wbp kan het CBP/de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens blijkens haar beleidsregels eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete.

 

Bewerkers

Veel organisaties laten persoonsgegevens beheren door derden (bewerkers). Het is van het grootste belang dat zij datalekken tijdig aan de verantwoordelijke melden en dat zij daartoe contractueel ook gehouden zijn. Bestaande bewerkersovereenkomsten dienen hieraan te worden aangepast.

 

Voor de beleidsregels van het CBP/de Autoriteit Persoonsgegevens klik hier.

 

Mr. Niels van den Burg

n.vandenburg@kbsadvocaten.nl

Tel. (030) 21 22 868