U bent hier

Organisatie & Leidinggeven
Rapporteren14. Beoordeling, privacy en verslaglegging14.3 Meldplicht datalekken
Voor Organisatie & Leidinggeven

14.3 Meldplicht datalekken

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: februari 2015

In de context van het vastleggen van persoonsgegevens is er een fenomeen dat uw bijzondere aandacht verdient: datalekken. Sinds 2011 bestaat er een meldplicht voor aanbieders van openbare elektronische communicatiediensten op de beveiliging van persoonsgegevens. Deze zogeheten ‘smalle meldplicht’ verplicht organisaties om datalekken te melden bij de Autoriteit Consument & Markt. Er is daarnaast ook een ‘brede meldplicht’ voor bedrijven en overheden op grond van het nieuwe artikel 34a van de Wet bescherming persoonsgegevens (Wbp). Rond deze meldplicht is eind vorig jaar een wetswijziging ingediend. De Tweede Kamer heeft de wet op 10 februari 2015 aangenomen, en ook de Eerste Kamer is onlangs akkoord gegaan.

14.3.1 Wat is een datalek?

Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Meestal is een datalek het gevolg van een beveiligingsprobleem. U kunt dan denken aan ‘gehackte’ computerbestanden, maar ook aan een gestolen geprinte klantenlijst.

Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie vormen weliswaar kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

14.3.2 Wetswijziging

Eind vorig jaar diende de staatssecretaris van Veiligheid en Justitie een wetswijzigingsvoorstel in rond de (brede) meldplicht datalekken. Met de wijziging krijgt het College bescherming persoonsgegevens (CBP) de bevoegdheid om aanzienlijk hogere boetes op te leggen: tot maar liefst € 810.000 in de hoogste categorie of, als dat niet passend is, 10% van de jaaromzet van de rechtspersoon.

Bij inwerkingtreding van de nieuwe wet verandert de naam van het College bescherming persoonsgegevens in Autoriteit persoonsgegevens. Deze naam sluit beter aan bij vergelijkbare instanties in Europa en ligt in lijn met de Autoriteit Consument & Markt en de Autoriteit Financiële Markten in ons land.

Artikel 34a WBP

Het nieuwe artikel heeft met name betrekking op het lekken van persoonsgegevens als gevolg van beveiligingsproblemen. Als een datalek ‘voldoende ernstig’ (zie het kader hierna) is, moet dit direct worden gemeld aan de toezichthouder, het College bescherming persoonsgegevens (CBP). Met de maximale boete wil de wetgever bereiken dat organisaties hun gegevens beter beveiligen en dat personen van wie gegevens zijn uitgelekt, sneller op de hoogte zijn van het feit dat hun gegevens ‘op straat liggen’. Zij kunnen dan direct maatregelen nemen, zoals een wachtwoord wijzigen of een rekening blokkeren.

Wanneer is een datalek ‘voldoende ernstig’?

Een datalek als gevolg van een inbreuk op de beveiliging geldt als voldoende ernstig en is daarmee meldplichtig in de volgende drie situaties:

  • er is sprake van een inbreuk op de beveiliging van persoonsgegevens: het gaat uitsluitend om lekken die het gevolg zijn van inbreuken op de beveiliging, ook als de beveiliging summier is;
  • de inbreuk doet zich voor bij een organisatie in de publieke of private sector: bedrijven, banken, verzekeraars, de Belastingdienst, UWV enz.
  • de inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens die door de organisatie worden verwerkt. Anders gezegd, de inbreuk kan leiden tot diefstal, verlies of misbruik van persoonsgegevens.

14.3.3 Inbreuk op beveiliging

Een inbreuk op de beveiliging betekent niet per definitie dat de beveiliging tekortschoot. Het is goed denkbaar dat de beveiliging als zodanig van voldoende niveau is, maar dat een beveiligingsprotocol niet wordt nageleefd. Zie de volgende voorbeelden:

  • de hack van een ICT-systeem dat
  • persoonsgegevens bevat;
  • de diefstal van een laptop of smartphone uit een kluisje;
  • het niet opvolgen van beveiligingsmaatregelen;
  • slordig omgaan met wachtwoorden;
  • personeelsdossiers die als oud papier worden aangeboden;
  • het verlies van een usb-stick waarop
  • persoonsgegevens staan.

Inhoud melding

Een melding van een datalek aan het CBP omvat in elk geval de volgende elementen:

  • de aard van de inbreuk;
  • de instantie die meer informatie over de inbreuk kan geven;
  • de aanbevolen maatregelen om de schade te beperken;
  • een beschrijving van de vastgestelde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
  • de al genomen of voorgestelde maatregelen om deze gevolgen te verhelpen;
  • de melding aan betrokken personen.

Boetebevoegdheid CBP

Als de overtreding opzettelijk is begaan, mag het CBP direct een boete opleggen. In de meeste gevallen zal het college eerst een ‘bindende aanwijzing’ geven. Deze bindende aanwijzing is nodig vanwege mogelijke interpretatieproblemen bij begrippen als ‘gepaste technische beschermingsmaatregelen’. Als geen actie volgt, wordt de boete alsnog opgelegd.