Meldplicht datalekken

Deze maand was het eindelijk zover, de ingang van de meldplicht datalekken. Vacaturesites en social mediaplatform LinkedIn stonden er vol mee: vacatures voor gedreven privacyjuristen. 

Goed nieuws voor mijn medestudenten die na hun studie hun heil in het privacyrecht gaan zoeken. Het College bescherming persoonsgegevens, sinds 1 januari 2016 Autoriteit Persoonsgegevens (AP), kan datalekken bestraffen met enorme boetes tot maximaal 820.000 euro of maar liefst 10 % van de jaaromzet. Een forse boete dus. Maar wat houdt de meldplicht eigenlijk in? Voor wie geldt de plicht? En wanneer dienen datalekken te worden gemeld, en aan wie? Over deze kwesties bestaat nogal wat onduidelijkheid. Hieronder een korte, maar heldere opsomming van de belangrijkste onderdelen van de meldplicht datalekken.

Datalek
Vanaf 1 januari 2016 is dus de meldplicht datalekken ingegaan. Maar wat is nou eigenlijk een datalek? De wet kent een vrij brede definitie van het begrip datalek. Er is sprake van een datalek wanneer persoonsgegevens worden verloren of onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kan worden uitgesloten. Het aanpassen van persoonsgegevens, toegang tot of afgifte van persoonsgegevens door een onbevoegde persoon kan een onrechtmatige verwerking opleveren. Van belang is dat het te allen tijde dient te gaan om persoonsgegevens. Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. Andere gegevens dan persoonsgegevens kunnen dus nimmer een datalek opleveren. Bekende voorbeelden van persoonsgegevens zijn een adres en een telefoonnummer. Een vaak voorgekomen misverstand betreft datalekken is dat het moet gaan om een hack. Het verliezen van een USB-stick met daarop persoonsgegevens kan ook worden aangemerkt als datalek. Ook de vernietiging van persoonsgegevens kan onder een datalek worden geschaard.

Untitled

 

 

 

 

 

 

 

Wanneer en aan wie melden?
Een datalek dient alleen aan de Autoriteit Persoonsgegevens te worden gemeld wanneer de datalek ernstige nadelige gevolgen met zich meebrengt voor de bescherming van persoonsgegevens of als er een aanzienlijke kans bestaat dat dit gebeurt. Een datalek kan ernstig zijn wanneer het gaat om gevoelige gegevens, zoals inloggegevens, financiële gegevens en medische gegevens (kwalitatief ernstig). Ook grote hoeveelheden persoonsgegevens die gelekt worden kan als ernstig worden aangemerkt (kwantitatief ernstig). Een datalek dient bovendien te worden gemeld aan de betrokken persoon, wanneer een datalek naar alle waarschijnlijkheid ongunstige gevolgen voor de betrokken persoon oplevert. Ongunstige gevolgen kunnen bijvoorbeeld zijn reputatieschade en identiteitsfraude. Kwalitatieve ernstige gegevens leveren zo goed als altijd ongunstige gevolgen op voor de betrokkene.

Hoe snel?
De wet stelt dat datalekken onverwijld gemeld dienen te worden. De definitieve beleidsregels van de Autoriteit Persoonsgegevens geven een termijn van 72 uur. Dat een datalek “zo snel mogelijk” gemeld dient te worden is dus feitelijk onjuist. Er wordt namelijk nog enige ruimte gegeven voor nader onderzoek.

Gevolgen
Wanneer men niet aan de meldplicht datalekken voldoet kan de Autoriteit Persoonsgegevens boetes uitdelen. Boetes kunnen onder meer opgelegd worden wanneer een datalek niet wordt gemeld terwijl dat wel had gemoeten, de beveiliging niet voldoende is en wanneer de verwerking van persoonsgegeven zonder toestemming is gebeurd. In de beleidsregels van de Autoriteit Persoonsgegevens zijn overtredingen van de Wet bescherming persoonsgegevens in verschillende categorieën ingedeeld. De maximale boete is 820.000 euro of 10 procent van de jaaromzet. Voor het niet voldoen van de meldplicht kan de autoriteit een boete van de tweede categorie opleggen. Dat komt neer op een boete van tussen de 120.00 en 500.000 euro per gemaakte overtreding.

Probleem
Ondanks de strikte regels waar bedrijven zich vanaf 1 januari aan moeten houden, is de handhaving nog een groot probleem. Volgens voorzitter Jacob Kohnstamm van de Autoriteit Persoonsgegevens kampt de Nederlandse privacywaakhond met onderbezetting, waardoor belangrijke taken niet vervuld kunnen worden. Door de onderbezetting kunnen kwalijke privacyschendingen niet aangepakt worden. Bedrijven kunnen hoge boetes makkelijk ontlopen, daar zij zich door de onderbezetting niet genoodzaakt voelen om een datalek te melden. In de eerste weken van januari bleek ook dat er ten opzichte van andere Europese landen een gering aantal datalekken bij de Nederlandse privacywaakhond zijn gemeld.

Conclusie
Het beschermen van onze privacy is op zich een mooi doel. Daarmee kan gezegd worden dat de meldplicht datalekken een mooi stukje wetgeving is. Bovendien heeft het ministerie van Veiligheid en Justitie een nieuw wetsvoorstel Cybersecurity ingediend. Dit wetsvoorstel beoogt “maatschappelijke ontwrichting” te voorkomen, door verplicht te stellen digitale veiligheidsincidenten te melden. Echter, kampt de Autoriteit Persoonsgegevens met onderbezetting waardoor zij het erg lastig krijgt om de beoogde wensen van de wetgever te doen uitkomen. Of de meldplicht dus daadwerkelijk zijn functie gaat vervullen, de privacy van onschuldige burgers bewaken, moet nog blijken.

© geschreven door Mario Matic; redacteur Informail.

Meer informatie:
Beleidsregels Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

SViR wordt mogelijk gemaakt door:

  • Brinkhof
  • Van Doorne
  • IViR
  • IE-Forum
  • De Brauw
  • Stibbe
  • DLA
  • Considerati
  • Bird en Bird Coffee Break
  • Simmons Simmons
  • Van Kaam
  • Klos CS
  • HOYNG