Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Bescherming persoonsgegevens | Bewerkersovereenkomst | Binding Corporate Rules | Cookies | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Europese Privacyverordening | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Safe Harbor | Vergeetrecht

Wet Meldplicht Datalekken per 1 januari 2016

De Wet Meldplicht Datalekken is in werking getreden op 1 januari 2016. Bij een datalek is er sprake van overtreding van de Wbp. Dan kan een bestuurlijke boete worden opgelegd met een maximum van 500.000 EURO. In bijzondere gevallen kan de privacytoezichthouder een nog hogere boete opleggen: tot 820.000 EURO of, als dat niet passend is 10% van de netto jaaromzet van de onderneming.

De AP heeft beleidsregels meldplicht datalekken gepubliceerd.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

Als een bedrijfstelefoon verloren of gestolen wordt, dan is dat mogelijk een datalek. Als een privé-telefoon kwijtraakt is er geen datalek (de Wbp is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden).

Zie ook: bescherming persoonsgegevens

Brede Meldplicht datalekken

Excuus voor het datalek Sinds 2011 bestaat er een meldplicht voor aanbieders van openbare elektronische communicatiediensten van inbreuken op de beveiliging van persoonsgegevens (artikel 11.3a Telecommunicatiewet).
Datalekken op grond van deze zogenaamde smalle meldplicht moeten sinds 1 januari 2016 worden gemeld bij de Autoriteit Persoonsgegevens. De bijbehorende boetes wijken af van de boetes die gelden bij een overtreding van de Wbp.

De algemene meldplicht datalekken voor bedrijven en overheid wordt ook de brede meldplicht genoemd. Deze meldplicht wordt opgenomen in een nieuw artikel in de Wet Bescherming Persoonsgegevens (Wbp): artikel 34a. De klemtoon bij deze meldplicht ligt op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Deze datalekken moeten -als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). De AP is de overheidsinstantie die toeziet op een zorgvuldig gebruik van persoonsgegevens. Nederland loopt met de Wet Meldplicht Datalekken vooruit op de Algemene Verordening Gegevensbescherming waarin ongeveer dezelfde bepalingen zijn opgenomen.

Wat is het doel van de brede meldplicht?

De verplichtingen zijn van toepassing op de verantwoordelijke, niet op de bewerker (zie: bewerking persoonsgegevens). Het is aan een bedrijf of instituut om te beoordelen of een datalek ernstig genoeg is. Een Data Protection Officer kan hier goede diensten bewijzen.

Voorwaarden voor melding aan de AP

Onder de volgende drie voorwaarden moet een inbreuk op de beveiliging worden gemeld bij de AP.

Wanneer is er sprake van inbreuk op de beveiliging?

Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. In de toelichting bij het wetsvoorstel worden als voorbeeld genoemd: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.

Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Als voorbeelden in de toelichting worden genoemd: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick.

Op de hierboven genoemde situaties is de meldplicht van toepassing. Uitsluitend wanneer de getroffen voorzieningen niet specifiek bedoeld zijn voor de beveiliging van persoonsgegevens hoeft geen melding te worden gedaan. In de toelichting bij het wetsvoorstel wordt het voorbeeld genoemd van een gebouw dat afbrandt als gevolg van blikseminslag, waarbij persoonsgegevens verloren zijn gegaan.

Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen geen datalek. Dat is pas het geval als de gegevens op straat liggen. Niet adequaat beveiligde gegevens zijn wel strafbaar.

Inhoud van de melding aan de AP over een datalek

Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Deze termijn is gerekend vanaf het eerste moment dat het probleem gesignaleerd is, niet het tijdstip van bijvoorbeeld rapportage aan een verantwoordelijke of de juridische afdeling.
De melding aan de toezichthouder omvat in elk geval: Meldloket datalekken van Autoriteit Persoonsgegevens

Melding aan de betrokken persoon

Excuses voor het datalekkage Als het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen, dienen ook zij een melding te ontvangen. Deze melding omvat in elk geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Er zijn uitzonderingen op de plicht om aan de betrokken personen te melden. Deze plicht geldt bijvoorbeeld niet als de gelekte persoonsgegevens versleuteld zijn. Dus voor een verloren usb-stick met persoonsgegevens die met encryptie zijn beveiligd hoeft niet gemeld te worden aan de betrokken personen (wel aan de Autoriteit Persoonsgegevens).

Boetebevoegdheid na datalekken

De toezichthouder (AP) mag een boete onmiddellijk opleggen als de overtreding opzettelijk is begaan. In de meeste gevallen zal ze eerst een bindende aanwijzing geven. Pas als de overtreding blijft bestaan dan wordt de boete opgelegd. De bindende aanwijzing is nodig vanwege mogelijke interpretatieproblemen bij begrippen als 'gepaste technische beschermingsmaatregelen'.

In het verleden mocht de AP alleen een bestuurlijke boete opleggen bij overtreding van een administratief voorschrift, zoals de verplichting tot melding van de verwerking van persoonsgegevens.

Logboek met datalekken bijhouden

Een organisatie heeft de plicht een logboek bij te houden van alle lekken die ernstig genoeg waren om aan de toezichthouder te moeten melden. Preciezer geformuleerd (art. 34a):
"De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene."

Overige relevante meldplichten

Afspraken met leverancier

Het is voor bedrijven raadzaam om afspraken te maken met leveranciers over beveiligingsmaatregelen. Hiermee kan achteraf worden getoetst of de leverancier de verplichtingen is nagekomen.
Er zijn leveranciers die in hun voorwaarden vermelden dat ze niet, of beperkt, gehouden zijn aan beveiliging.
Ook zijn afspraken nodig over het melden aan de toezichthouder: het is de verantwoordelijke die de melding moet doen. Dat moet in ieder geval binnen 72 uur gebeuren.

Mogelijke extra kosten na datalekken

Als persoonsgegevens door een datalek of fout geopenbaard worden, kan daar schade uit voortvloeien voor de betrokkenen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt. Deze aansprakelijkheid is niet nieuw, maar door de brede meldplicht zullen fouten eerder bekend worden. Dat zal leiden tot meer schadeclaims van de personen die slachtoffer zijn geworden van een datalek.

Vernietiging van persoonsgegevens kan een datalek zijn

Als persoonsgegevens vernietigd worden dan kunnen ze niet in handen van derden vallen. Maar een onbedoelde vernietiging kan gevolgen hebben voor de betrokkenen. Om die reden kan er bij een vernietiging toch sprake zijn van een datalek.

Ransomware

Ransomware is een vorm malware die bestanden blokkeert of versleutelt. Om weer toegang te krijgen tot de data moet een losprijs betaald worden.
Bij malware wordt verondersteld dat derden toegang tot computers en randapparatuur hebben gekregen. Dat betekent dat er sprake is van een datalek, tenzij uitgesloten kan worden dat er persoonsgegevens bij betrokken zijn.
Meer informatie: wat is ransomware?

Inbraak en datalek

Wanneer er een inbraak is geweest en dossiers of ordners met gegevens over personen, cliënten of leden (mogelijk) zijn ingezien, kan er sprake zijn van een datalek. Dat is niet het geval als alle gegevens achter slot en grendel worden bewaard en de archiefkasten e.d. niet zijn opengebroken.

Wat te doen bij een datalek

Naast de verplichtingen omtrent het officieel melden aan de Autoriteit Persoonsgevens en eventueel aan de betrokkenen, zijn er praktische stappen te nemen:

Gevolgen bij niet-melden

Een instinctieve reactie is om een voorval van een datalek niet te melden. Dat is een struisvogelreactie.