Zowel private als publieke organisaties die persoonsgegevens verwerken worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen.
Wet meldplicht datalekken
De Wet Bescherming Persoonsgegevens (Wbp) bepaalt (onder meer) dat persoonsgegevens door middel van passende technische en organisatorische maatregelen dienen te worden beveiligd. De gegevens moeten derhalve niet alleen op technische wijze worden beschermd tegen toegang door derden, maar een organisatie dient er ook intern voor te zorgen dat de gegevens uitsluitend toegankelijk zijn voor die onderdelen van het bedrijf die de gegevens nodig hebben voor de uitvoering van hun taken. Met de Wet meldplicht datalekken wordt een nieuw artikel de Wbp toegevoegd wat bepaalt, dat melding moet worden gemaakt van iedere inbreuk op de (technische of organisatorische) maatregelen ter beveiliging tegen verlies of onrechtmatige verwerking van persoonsgegevens. Bij een inbreuk kan worden gedacht aan een hack of een technisch falen, maar ook aan verlies of diefstal van een laptop waarop persoonsgegevens staan. Een ‘datalek’ kan dus in vele vormen voorkomen.
Wanneer moet er melding gedaan worden?
De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). Of daarvan sprake is, is aan iedereen zelf om te beoordelen, maar de Autoriteit geeft wel richtsnoeren. Van een meldplicht zal eerder sprake zijn bij een gerichte hack – omdat de hacker vermoedelijk doelbewust gegevens heeft buitgemaakt – dan bij het laten liggen van een USB-stick in de trein, in welk geval het heel goed mogelijk is dat de gegevens nooit door een derde worden bekeken. Zijn de gelekte gegevens evenwel van gevoelige aard, dan zal dat vrijwel altijd aanleiding zijn om te melden.
Melden aan de Autoriteit en aan de betrokkene
De melding dient te worden gedaan aan de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens). Daarbij dient niet alleen te worden gemeld om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft, maar ook welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen. Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet ook de betrokkene in kennis worden gesteld van het lek. Indien gelekte gegevens (afdoende) versleuteld zijn, hoeft geen melding te worden gemaakt aan de betrokkene, maar wel aan de Autoriteit.
Wij verwijzen u graag naar de website Autoriteit Persoonsgegevens.
Uitbesteding van gegevensverwerking
Zowel de verplichting om te zorgen voor een gedegen beveiliging van de persoonsgegevens als de verplichting om het te melden als dat is misgegaan, rust op de verantwoordelijke in de zin van de Wbp. Dat is de entiteit die (formeel-juridisch) beslist welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Wordt de gegevensverwerking uitbesteed aan een ander (bijvoorbeeld ICT-) bedrijf, dan is dat de bewerker. Het zal veelal de bewerker zijn die in de praktijk voor de beveiliging zorgt en die een datalek feitelijk ontdekt. Wees er echter van bewust dat bij een gebrekkige beveiliging het de verantwoordelijke is die het boeterisico loopt. Het is daarom van groot belang dat de verantwoordelijke in de bewerkersovereenkomst goede afspraken maakt over de beveiliging en het melden van een datalek.
