7 vragen over de meldplicht datalekken (en de antwoorden daarop)

B.P. Priem & S.E. van den Berg

Er is veel te doen over de per 1 januari 2016 in werking getreden ‘meldplicht datalekken’. Deze meldplicht is opgenomen in artikel 34a van de Wet bescherming persoonsgegevens (‘Wbp’). Op deze verplichting wordt toezicht gehouden door de Autoriteit Persoonsgegevens (voorheen Cbp).  In dit artikel staan we stil bij 7 veelgestelde vragen in het  kader van de ‘meldplicht datalekken’. 

1. Wat is een datalek?

Artikel 13 van de Wbp  verplicht een verantwoordelijke  om passende technische en organisatorische maatregelen te nemen tegen verlies of onrechtmatige verwerking van persoonsgegevens. Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 1 Wbp). Als er sprake is van een inbreuk op de voornoemde beveiliging én er sprake is van verlies van persoonsgegevens óf onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden, dan moet dezelfde verantwoordelijke  op grond van artikel 34a Wbp in bepaalde gevallen onverwijld de Autoriteit Persoonsgegevens in kennis stellen. Soms moeten ook de betrokken personen in kennis worden gesteld.  Een inbreuk is niet alleen een zogenaamde ‘hack’, maar ziet op alle gevallen waarin er sprake is van blootstelling van persoonsgegevens aan verlies of onrechtmatige verwerking. Het kan dus bijvoorbeeld ook gaan om een crash van een harde schijf, verlies van een USB stick, of verlies van gegevens door brand.

2. Moet het datalek worden gemeld?

Als er sprake is van een datalek  dan moet de verantwoordelijke dat melden indien het datalek leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a lid 1 Wbp). Omvang en aard van het lek en omvang en aard van de persoonsgegevens spelen daarin een rol. Per geval moet worden vastgesteld of aan dit criterium is voldaan. Wanneer er bijvoorbeeld sprake is van inbreuken betreffende financiële informatie, inlog gegevens, seksuele geaardheid of godsdienst dan zal dit sneller een meldplicht met zich meebrengen.

3. Aan wie moet worden gemeld?

Als er sprake is van een datalek dat moet worden gemeld, dan dient er een melding te worden gedaan aan de Autoriteit Persoonsgegevens (artikel 34a lid 1Wbp). Tevens moet er een melding worden gedaan aan de betrokken personen indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen (artikel 34a lid 2 Wbp). Als er passende maatregelen zijn genomen waardoor persoonsgegevens onbegrijpelijk of ontoegankelijk zijn (o.a. encryptie) dan hoeft de betrokkene niet te worden geïnformeerd (artikel 34a lid 6  Wbp). 

4. Wie moet er melden?

De verplichting om te beveiligen als bedoeld in artikel 13 Wbp rust op de verantwoordelijke. Dat is degene die alleen of samen met anderen het doel van-, en de middelen voor, de verwerking van persoonsgegevens vaststelt (artikel 1 sub d Wbp).  Niet iedereen die persoonsgegevens verwerkt heeft dus de plicht om te melden. In veel gevallen heeft de verantwoordelijke een derde (een ‘bewerker’) ingeschakeld om persoonsgegevens te verwerken. Voor deze bewerker geldt de bovengenoemde meldplicht niet. Zo’n bewerker is vaak  op grond van een (bewerkers)overeenkomst (artikel 14 Wbp) gehouden om een incident te melden bij de verantwoordelijke.

5. Hoe moet er worden gemeld en wat moet er worden gemeld?

De Autoriteit Persoonsgegevens heeft een webformulier beschikbaar gesteld waarmee aan haar kan worden gemeld. Dit formulier is te vinden op de site www.autoriteitpersoonsgegevens.nl.  De melding kan echter ook per fax worden gedaan. In de melding moeten de aard van de inbreuk, de instanties waar meer informatie kan worden verkregen en de aanbevolen maatregelen worden vermeld (artikel 34a lid 3 Wbp) Ook moet een beschrijving worden gedaan van de geconstateerde en vermoedelijke gevolgen van de inbreuk en van de getroffen of voorgestelde maatregelen om deze gevolgen te verhelpen (artikel 34a lid 4 Wbp).

Een melding aan een betrokkene moet op zodanige wijze worden gedaan dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. Daarbij moet rekening worden gehouden met de inbreuk en gevolgen daarvan (artikel 34 a lid 5 Wbp).

6. Op welk moment moet er gemeld worden?

Een melding aan de Autoriteit Persoonsgegevens moet onverwijld worden gedaan (34a lid 1 Wbp). De Autoriteit Persoonsgegevens hanteert daarvoor het uitgangspunt dat na het ontdekken van een mogelijk datalek enige tijd mag worden genomen voor nader onderzoek zodat een onnodige melding kan worden voorkomen. Er mag echter geen sprake zijn van onnodige vertraging. In ieder geval strekt het tot aanbeveling om niet later dan 72 uur na de ontdekking te melden (ook als de gegevens nog niet compleet zijn). Gelet op deze onverwijlde meldingsplicht is het noodzakelijk om goede afspraken met bewerkers van persoonsgegevens te maken.  Een verantwoordelijk kan zich voor wat betreft de tijdigheid van de melding er niet achter verschuilen dat de bewerker hem of haar niet op tijd heeft geïnformeerd nu de termijn gaat lopen op het moment dat de verantwoordelijke of de bewerker op de hoogte raakt van een incident.

7. Wat zijn de consequenties van wel of niet melden?

Niet melden

Als er niet wordt gemeld, dan kan de Autoriteit Persoonsgegevens een bindende aanwijzing en/of bestuurlijke boete opleggen. De boete beloopt per 1/1//2016 maximaal EUR 820.000,- .  Deze boete kan direct worden opgelegd als er sprake is van ernstig verwijtbare nalatigheid. De uiteindelijke hoogte van de boete is afhankelijk van de omstandigheden van het geval.

Wel melden

Als er is gemeld, kan de Autoriteit Persoonsgegevens verlangen dat er een kennisgeving moet worden gedaan aan de betrokkenen (als daarvan nog geen sprake is geweest). Als dat niet wordt opgevolgd kan dat bestraft worden met een boete van maximaal EUR 820.000,-. Als, daarnaast, uit de melding blijkt dat de beveiliging van persoonsgegevens mogelijk niet op orde is, dan kan de Autoriteit Persoonsgegevens nader onderzoek doen naar naleving van de beveiligingsverplichtingen uit de Wbp. Als aan die verplichtingen niet is voldaan, kan de Autoriteit Persoonsgegevens handhavend optreden (door het opleggen van bindende aanwijzingen en/of boetes van max. EUR 820.000 per overtreding).

Het bovenstaande kan als volgt -beknopt- in een schema worden weergegeven:

 

Hebt u meer vragen over de meldplicht datalekken of over gerelateerde onderwerpen zoals bijvoorbeeld bewerkersovereenkomsten, neem dan contact op met Lawton Advocaten via 076 52 33 450 of info@lawton.nl.

Lawton Advocaten (c) 2016

Dit bericht is puur informatief van karakter. Aan de inhoud van dit bericht kunnen geen rechten worden ontleend. De inhoud van dit bericht geldt niet als juridisch advies. Voor het gebruik hiervan is Lawton niet verantwoordelijk.