Meldplicht datalekken per 1 januari 2016

Meldplicht datalekken

Meldplicht datalekken

Per 1 januari 2016 is de Wet bescherming persoonsgegevens gewijzigd. De wijzigingen zien voornamelijk op de invoering van de meldplicht datalekken. De wetswijzigingen hebben met name gevolgen voor organisaties – zowel publieke als private – die persoonsgegevens bewaren.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Er kan sprake zijn van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden van datalekken die door de Autoriteit Persoonsgegevens worden genoemd in het kader van de meldplicht datalekken zijn een kwijtgeraakte usb stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Vereisten bij meldplicht

De meldplicht datalekken brengt niet met zich mee dat van elke datalek een melding moet worden gemaakt. Er geldt een meldplicht indien sprake is van een inbreuk op de beveiliging die leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Ernstige nadelige gevolgen kunnen zien op de hoeveelheid data (kwantitatief ernstig), maar ook op de inhoud van de data (kwalitatief ernstig). Bij dit laatste moet gedacht worden aan gevoelige informatie, zoals inloggegevens, financiële gegevens of gegevens die betrekking hebben op de levensovertuiging of de gezondheid van de personen in kwestie

‘Ernstige’ datalekken moeten binnen 72 uur aan de toezichthouder gemeld worden. De organisatie in kwestie is ook meldplichtig als een datalek plaats vindt bij een bewerker waarmee de organisatie data gedeeld heeft.

In de gevallen dat de desbetreffende inbreuk ook nadelige gevolgen kan hebben voor de privacy van personen, moeten ook de betrokkenen in kennis worden gesteld

Wanneer een organisatie de persoonsgegevens niet heeft beveiligd kan er ook geen sprake zijn van inbreuk. In dat geval is echter sprake van schending van de verplichting van de verantwoordelijke om passende maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Autoriteit persoonsgegevens

Voorheen had de Autoriteit Persoonsgegevens weinig sanctiemiddelen, maar door de uitbreiding van de bestuurlijke boetebevoegdheid kan de Autoriteit Persoonsgegevens nu bij vrijwel elke overtreding van de Wet bescherming persoonsgegevens een boete opleggen. In geval van opzet of ernstige verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen moet daaraan een bindende aanwijzing voorafgaan. De boetes kunnen oplopen tot een bedrag van €810.000,- of, indien dat geen passende bestraffing is, zelfs 10% van de jaaromzet.

De toezichthouder zal een standaardformulier beschikbaar stellen waarmee melding kan worden gedaan. Deze informatie zal opgeslagen worden in een register dat niet openbaar is. Maar als de organisatie beboet wordt omdat er naar oordeel van de toezichthouder sprake is geweest van nalatigheid, een ernstig datalek of recidive; dan zal dit boetebesluit openbaar gemaakt worden.

Wij adviseren organisaties om zich bewust te zijn (of worden) van de nieuwe eisen omtrent de meldingsplicht van datalekken en van de toegenomen sancties bij het overtreden van de voorschriften van de Wet bescherming persoonsgegevens.