Meldplicht datalekken vanaf 2016

Vanaf 1 januari 2016 geldt in Nederland een wettelijke meldplicht voor datalekken. Als er bij een datalek kans is op privacyschending van personen, moet dit gemeld worden bij de Autoriteit persoonsgegevens. Als organisatie ben je daarnaast verplicht de personen in het bestand hiervan op de hoogte stellen. Is uw organisatie er op voorbereid?

Wat geldt als datalek?

Een datalek is een “inbreuk op de beveiliging … die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.” De inbreuk moet dus een impact hebben op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. aan financiële data, inloggegevens, BSN-achtige gegevens, of gegevens die kunnen leiden tot discriminatie of uitsluiting, zoals medische gegevens, seksuele voorkeur, ras of levensovertuiging.

Alleen een risico op datalek is al voldoende

En daarbij gaat het niet alleen om ‘lekken’ die zich daadwerkelijk hebben voorgedaan (gegevens zijn bijvoorbeeld in handen van onbevoegden gekomen), maar ook om situaties waardoor er een aanzienlijke kans op een datalek bestaat. Een ‘lek’ is niet alleen het zoek raken of op straat komen te liggen van gegevens, maar van een ‘lek’ is bijvoorbeeld ook sprake bij vernietiging of in geval van onrechtmatige verwerking van persoonsgegevens. Van een datalek kan al snel sprake zijn: een gestolen of zoekgeraakte laptop of usb-stick, inbraak door een hacker, een besmetting met malware, brand in een datacentrum.

Meldplicht datalekken sinds 2016

Wie bepaalt aanzienlijke kans op ernstige nadelige gevolgen?

De wet geeft daar het antwoord niet op de organisatie moet zelf de inschatting maken of daar sprake van is. Een lastige zaak omdat het nieuwe wetgeving betreft en omdat het verkeerde besluit – niet melden terwijl dat wel had gemoeten – een behoorlijk dure grap kan worden.

Forse boete voor niet naleven

De Autoriteit persoonsgegevens (tot het einde van 2015 nog College Bescherming Persoonsgegevens geheten) mag forse boetes opleggen bij het overtreden van de wet; per overtreding kunnen de boetes oplopen tot 820.000 euro.

Beleidsregels

CBP heeft op 9 december haar definitieve beleidsregels gepubliceerd (zie www.cbpweb.nl) betreffende het opleggen van die boetes. De beleidsregels zijn ervoor bedoeld bedrijven te helpen bij het maken van de afweging of sprake is van een datalek en of er een meldplicht bestaat. Met de mogelijkheid van het opleggen van boetes loopt het CBP overigens vooruit op de Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation). Op 15 december is in Europa definitieve (politieke) overeenstemming bereikt over deze Verordening. Vervolgens zal de definitieve tekst van de Verordening – naar verwachting begin 2016 – worden vastgesteld. De Verordening treedt dan twee jaar daarna in werking. Onder de Verordening kunnen de boetes zelfs oplopen tot 4 procent van de wereldwijde omzet. Zaak om daar serieus rekening mee te houden dus…

Wanneer meldplicht datalek?

Terug naar Nederland, naar 1 januari 2016 en de Wet Meldplicht Datalekken. Of er een meldplicht is, hangt dus af van de impact / de ernst van het datalek. Die ernst wordt mede gekleurd door de persoonsgegevens die ‘gelekt’ zijn of waarvan de kans bestaat dat ze kunnen ‘lekken’. Extra alertheid is geboden bij bijzondere persoonsgegevens (denk aan medische, religieuze, politieke), gegevens over de financiële en economische situatie van personen (schuldsanering, hypotheek, alimentatieplicht etc.), gegevens die kunnen leiden tot stigmatisering / uitsluiting (seksuele geaardheid bijvoorbeeld), gebruikersnamen, wachtwoorden en andere inloggegevens en gegevens die kunnen worden gebruikt voor identiteitsfraude.

Binnen welke termijn melden?

In geval van een datalek in de zin van de wet (zoals hiervoor beschreven), moet er ‘onverwijld’ gemeld worden aan het CBP. Er mag niet te lang gewacht worden met melden, maar er mag ook wel tijd uitgetrokken worden voor onderzoek (denk ook aan onderzoek naar de aard en ernst van het lek om te kunnen bepalen of er überhaupt een meldplicht bestaat). Het CBP gaat in haar beleidsregels uit van een termijn van in beginsel 72 uur na ontdekking van het incident. Let op: het incident kan ook ontdekt worden door de bewerker: het hosting bedrijf bijvoorbeeld of de SaaS leverancier. Per geval moet bekeken moeten worden wat ‘onverwijld’ is: in ons rechtssysteem hangt het (juist) toepassen van rechtsregels nu eenmaal vaak samen met ‘de omstandigheden van het geval’ hetgeen helaas niet bijdraagt aan de rechtszekerheid, maar wel ruimte biedt voor correctie op grond van redelijkheid en billijkheid. Indien er binnen die termijn van 72 uur nog geen duidelijkheid is over wat er gebeurd is en om welke gegevens het gaat, kan (moet) er gemeld worden op basis van de gegevens die op dat moment bekend zijn; de melding kan later nog aangevuld worden (of ingetrokken).

Wat moet er gemeld worden?

Een heel scala aan onderwerpen moet gemeld worden: aard en omvang van het datalek, de vermoedelijke gevolgen, de maatregelen, de betrokken instanties. Op haar website geeft het CBP daar uitvoerige en praktische informatie over. Melding aan betrokkenen kan, afhankelijk van de omstandigheden, per brief, krant, website, email, telefoon etc. en hen dient de mogelijkheid geboden te worden tot correctie / reactie.

Boetes bij niet naleven meldplicht

Bij overtreding van de wet, kan het CBP boetes opleggen tot maximaal 820.000 euro. Alvorens boetes op te leggen zal het CBP eerst aanwijzingen geven over de inrichting van de beveiliging (tenzij sprake is van opzet / ernstig verwijtbaar nalatig handelen, dan kan direct een boete worden opgelegd). De hoogte van de boete is afhankelijk van het type schending; de schendingen zijn ingedeeld in categorieën en per categorie is een boete- bandbreedte bepaald: Categorie I: 0- 200K, Categorie II: 120 – 500K; Categorie III: 350 – 820K. Schending van de meldplicht valt bijvoorbeeld onder categorie II en eventueel III. Let op: de boete is per schending, dus als wel gemeld wordt aan het CBP maar niet aan betrokkenen, of andersom, is er toch ruimte voor een boete van maximaal 820.000 euro.

Afgezien van (en naast) de boete, kan er ook aansprakelijkheid ontstaan indien gehandeld wordt in strijd met de wet: de overtreder kan bijvoorbeeld aansprakelijk zijn jegens de betrokken personen bij niet, te laat of te weinig melden bij CBP, bij niet, te laat of te weinig melden bij betrokken personen, bij niet voldoen aan een last van het CBP, indien er geen incidentenregister is bijgehouden. Een onvoldoende beveiliging kan onrechtmatig zijn. Door melding van het datalek ontloopt de overtreder zijn aansprakelijkheid overigens niet. Naar betrokkenen toe is het uitsluiten of beperken van aansprakelijkheid niet mogelijk.

Wel kunnen in de onderlinge relatie verantwoordelijke / bewerker afspraken worden gemaakt over de verdeling van verantwoordelijkheden en het verleggen van risico’s. Denk daarbij aan afspraken over de meldplicht, medewerking bij incidenten, het bijhouden van een incidentenregister, het verschaffen van tijdige en adequate informatie over incidenten, best practices, auditing…

Dit artikel is geschreven door Hanneke Slager van advocatenkantoor  Cordemeyer & Slager. Voor ondersteuning bij het opstellen en aanpassen van uw bewerkersovereenkomsten, draaiboeken en advies kunt u met hen contact opnemen: Irvette Tempelman; i.m.tempelman@cslaw.nl. Lees ook haar artikelen over privacy en de bescherming van persoonsgegevens op www.cslaw.nl