Meldplicht Datalekken

12-11-2015

In grote lijnen

meldplicht-AS_01 (12-11-2015)Per 1 januari 2016 is in de Wbp bepaald dat een datalek onverwijld bij het College Bescherming Persoonsgegevens (CBP) (per 1 januari 2016 wijzigt de naam in  ‘Autoriteit persoonsgegevens’) moet worden gemeld én dat de betrokkenen (van wie de gegevens zijn gelekt) mogelijk in kennis moeten worden gesteld én dat er een logboek van alle datalekken moet worden bijgehouden.

Verder is er een boeteregeling opgenomen. Het CBP kan boetes opleggen tot maximaal € 810.000,00 per lek.

Datalek

Onder een datalek wordt verstaan:

  • een inbreuk op de (technische en organisatorische) beveiliging tegen verlies of onrechtmatige verwerking die persoonsgegevens moeten hebben,
  • die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen,
  • dan wel daadwerkelijk ernstige gevolgen heeft voor de bescherming van persoonsgegevens.

Dit betekent dat er in geval van een datalek, moet worden nagegaan of er persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, en zo ja, of redelijkerwijs kan worden uitgesloten dat er ook daadwerkelijk sprake is van het verloren gaan van persoonsgegevens of van de onrechtmatige verwerking daarvan.

Bekende voorbeelden zijn het verlies van een USB-stick in het openbaar vervoer of de diefstal van een laptop uit een auto.

Meldplicht aan het CPB

Een belangrijke verplichting in geval van een datalek is het melden daarvan bij het CBP. Dit dient uiterlijk op de tweede werkdag na ontdekking te gebeuren door middel van een webformulier. Deze meldplicht ontstaat als er ernstige nadelige gevolgen zijn voor de bescherming van persoonsgegevens, of wanneer daar een aanzienlijke kans toe bestaat. Daarvan zal in ieder geval sprake zijn als de persoonsgegevens gevoelige informatie bevatten zoals omtrent godsdienst, gezondheid, strafblad, de financiële situatie, DNA-gegevens of inloggegevens.

Daarnaast geldt de meldplicht ook als de omvang van de inbreuk daartoe aanleiding geeft (bijvoorbeeld als het gaat om de gegevens van een zeer grote groep mensen), of als de aard van de inbreuk daartoe aanleiding geeft (bijvoorbeeld wanneer de mailadressen van kwetsbare personen, zoals bewoners van een zorginstelling, zijn gelekt).

Melding aan betrokkenen

Een andere belangrijke verplichting nadat een datalek bij het CBP is gemeld, is het mogelijk moeten melden van de datalek aan de betrokkenen, dat wil zeggen aan degenen wiens gegevens zijn gelekt. Die verplichting ontstaat als de gelekte persoonsgegevens niet ‘passend’ technisch zijn beschermd. Of er sprake is van een passende bescherming zal per geval door het CBP worden beoordeeld.

Zónder passende bescherming zal een datalek altijd aan de betrokkenen moeten worden gemeld als er sprake is van gevoelige gegevens. In andere gevallen zal de meldplicht van de omstandigheden afhangen.

Logboek

Verder moet er een deugdelijk logboek worden bijgehouden van alle datalekken.

Boetes

Last but not least is er een boetemogelijkheid. Het CBP kan boetes opleggen die kunnen oplopen tot € 810.000,00. Het al dan niet doen opleggen van een boete zal vooral  afhankelijk zijn van de vraag of er sprake is van opzet of van ernstige nalatigheid.

Nadere informatie

Een deel van de bovenstaande tekst is afkomstig uit, of gebaseerd op artikelen van de heer mr. A.A.H. Bruinhof, advocaat bij Wieringa Advocaten te Amsterdam. Voor een verdere toelichting op dit onderwerp bevelen wij u de nieuwsbrieven van de heer Bruinhof van harte aan. Via de website van Wieringa Advocaten kunt u de reeds verschenen nieuwsbrieven vinden en zich inschrijven voor de komende nieuwsbrieven. Zie: www.wieringa.nl

Ook het CBP publiceert op haar website verdergaande informatie. Met name de ‘Richtsnoeren Meldplicht Datalekken’ zijn zeer relevant. Zie: www.cbpweb.nl 

Advies

Wij adviseren u, via de genoemde bronnen (Wieringa Advocaten en CBP), de details van dit onderwerp te bestuderen, dit onderwerp intern aan de orde te stellen en onder de aandacht te brengen en, zo nodig, maatregelen te treffen.

Verder adviseren wij u, in geval van een onverhoopt datalek, direct de juiste maatregelen te treffen. Het binnen twee werkdagen melden bij het CBP is er daar uiteraard één van, maar ook het zich laten bijstaan door deskundigen, kan wenselijk zo niet noodzakelijk zijn. Bij dit laatste zouden wij u kunnen assisteren.

Uitgelicht

  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014