Meldplicht datalekken, voor en na 25 mei 2018

17 juni 2017

U heeft er vast wel eens over gehoord: de meldplicht datalekken. Sinds 1 januari 2016 is het in Nederland verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Soms moet een datalek ook gemeld worden aan degenen van wie de persoonsgegevens gelekt zijn. Hierbij gaat het niet alleen om een grootschalige inbraak, maar bijvoorbeeld ook om het verliezen van een USB-stick met persoonsgegevens erop. U kunt zelfs een boete krijgen die kan oplopen tot € 820.000 of 10% van de jaaromzet per overtreding.

Alleen persoonsgegevens

De verplichting om datalekken te melden is sinds 1 januari 2016 vastgelegd in artikel 34a van de Wet bescherming persoonsgegevens. De meldplicht heeft betrekking op persoonsgegevens. Voor andere soorten data geldt de meldplicht datalekken dus niet. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Voorbeelden

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Zelfs het versturen van een mailing met e-mailadressen in het CC-veld in plaats van in het BCC-veld geldt als datalek. Ook een calamiteit zoals een brand in een datacentrum kan oorzaak zijn van een datalek dat gemeld moet worden.

Maar als bijvoorbeeld een lijst met bedrijfsnamen uit uw relatiebeheerpakket wordt gekopieerd of als de broncode van software is ontvreemd is dat geen datalek waarop de meldplicht datalekken van toepassing is. Het gaat dan immers niet om persoonsgegevens.

Beveiligingsmaatregelen

Om datalekken te voorkomen moeten bedrijven en overheden die persoonsgegevens gebruiken deze beveiligen. Ze moeten daarvoor passende technische en organisatorische maatregelen nemen.
Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?
Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Meldplicht aan toezichthouder

Niet ieder datalek hoeft te worden gemeld. Pas als er sprake is van een ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens moet het datalek bij de toezichthouder, de Autoriteit Persoonsgegevens, gemeld worden. Dat moet dan zonder onnodige vertraging gebeuren; als het kan binnen 72 uur na ontdekking.
Een lek kan ernstig zijn omdat het een grote hoeveelheid data betreft. Het datalek kan echter ook ernstig zijn, omdat het om gevoelige gegevens gaat. Het gaat dus zowel om kwantitatief ernstige datalekken als om kwalitatief ernstige datalekken.

Meldplicht aan getroffen personen

Als een datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de personen waarop de gegevens betrekking hebben moet dit ook aan hen worden gemeld. Het kan dan bijvoorbeeld gaan om identiteitsfraude, discriminatie of reputatieschade. Deze melding moet dan dus plaatsvinden naast de melding aan de Autoriteit Persoonsgegevens.

Deze melding kan echter achterwege blijven als de gelekte gegevens onbegrijpelijk of ontoegankelijk zijn. Daarvan is bijvoorbeeld sprake als de gegevens door middel van encryptie versleuteld zijn. Ook als u de gegevens op afstand kunt verwijderen of vernietigen van bijvoorbeeld een iPad of een laptop hoeft u geen melding te doen aan de betrokken personen.
Overigens, u moet dan nog steeds een melding doen bij de Autoriteit Persoonsgegevens.

Boete

De Autoriteit Persoonsgegevens kan op grond van de Wet bescherming persoonsgegevens hoge boetes opleggen. Deze kunnen oplopen tot maar liefst € 820.000 of 10% van de jaaromzet. Boetes kunnen worden opgelegd voor het niet melden van een datalek terwijl dat wel had gemoeten, het niet op orde hebben van de beveiliging of het verwerken van persoonsgegevens zonder toestemming.

Is de overtreding niet opzettelijk gepleegd? En is er geen sprake van ernstig verwijtbare nalatigheid? Dan legt de Autoriteit Persoonsgegevens eerst een bindende aanwijzing op. Daarna volgt eventueel een boete.

Bij het opleggen van een boete wordt rekening gehouden met alle omstandigheden van het geval. Relevant kan bijvoorbeeld zijn dat de gelekte gegevens niet door derden zijn ingezien.

Hoe melden?

Een datalek kunt u melden via het Meldloket datalekken Autoriteit Persoonsgegevens. Daar moet dan een formulier ingevuld worden. De gegevens die u invult worden opgeslagen in een niet-openbaar register. Het eventuele besluit om een boete op te leggen is echter wel openbaar.

Europese regelgeving vanaf 25 mei 2018

Met ingang van 25 mei 2018 zal de Europese Algemene verordening gegevensbescherming (AVG) van toepassing zijn in Nederland. De Wet bescherming persoonsgegevens geldt niet meer. Organisaties die persoonsgegevens verwerken krijgen dan meer verplichtingen. Er wordt meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability).
Organisaties hebben daarom een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de nieuwe regelgeving te voldoen.

Veranderingen voor organisaties

Per 25 mei 2018, als de AVG van toepassing is, verandert er onder meer het volgende voor organisaties:

  • zij hoeven verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens;
  • zij kunnen verplicht zijn een privacy impact assessment (PIA) uit te voeren;
  • zij kunnen verplicht zijn een functionaris voor de gegevensbescherming aan te stellen.
Veranderingen voor personen

De AVG kent een speciaal artikel over toestemming. Hierin staat wat de voorwaarden zijn voor organisaties om geldige toestemming te krijgen van mensen om hun persoonsgegevens te verwerken. De toestemming kan verder altijd worden ingetrokken.

Personen hebben nu al het recht om een organisatie te vragen hun persoonsgegevens te corrigeren of te verwijderen. Straks kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.

In de AVG is verder het recht op vergetelheid opgenomen. Dit recht houdt in dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als een betrokkene erom vraagt. Het recht op vergetelheid lijkt op het huidige recht op correctie en verwijdering. Maar het recht op vergetelheid is breder. Het is niet meer – zoals nu – beperkt tot het verwijderen van objectief onjuiste gegevens, onvolledige gegevens of niet ter zake doende gegevens.

Ook hebben mensen straks (onder bepaalde voorwaarden) het recht om van de organisatie hun persoonsgegevens in een standaardformaat te ontvangen. Dit heet het recht op dataportabiliteit.
Zo kunnen zij hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bijvoorbeeld als zij zich willen uitschrijven bij de ene sociale netwerksite en zich inschrijven bij een andere. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Boete van maximaal 20 miljoen euro

Organisaties hebben onder de AVG bepaalde verplichtingen, zoals een documentatieplicht. Komt een verantwoordelijke (één van) deze verplichtingen niet na? Dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)? Dan kan een boete worden opgelegd van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Tot slot

Er is dus alle reden om zorgvuldig en gedocumenteerd om te gaan met persoonsgegevens en om datalekken te voorkomen. Als organisatie zult u nu maatregelen moeten treffen om vanaf 25 mei 2018 te voldoen aan de nieuwe Europese regelgeving.
Heeft u daar hulp of advies bij nodig? Neem dan vrijblijvend contact met ons op. Dat kan telefonisch op nummer 073 – 623 55 42 of stuur een e-mail naar info@sendin.nl.

Share This