Charco & Dique

Datalekken

Een poststuk komt geopend retour, een laptop wordt gestolen of een e-mail komt bij de verkeerde ontvanger terecht: een inbreuk op de beveiliging van persoonsgegevens wordt ook wel een datalek genoemd. Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Organisaties die persoonsgegevens verwerken, zijn verplicht datalekken te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht. Onder de Algemene verordening gegevensbescherming (AVG) blijft de meldplicht datalekken grotendeels hetzelfde. Een belangrijke wijziging is evenwel dat organisaties vanaf de inwerkingtreding van de nieuwe privacywetgeving op 25 mei 2018 verplicht zijn om alle datalekken te documenteren, ook als een datalek niet gemeld hoeft te worden aan de AP of de betrokkenen.

Onderwerpen

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Er is niet alleen sprake van een datalek als er persoonsgegevens verloren zijn gegaan, maar ook als onrechtmatige verwerking van de persoonsgegevens ‘niet redelijkerwijs kan worden uitgesloten’. Bijvoorbeeld als een verzekeraar ontdekt dat als gevolg van een slecht beveiligde webapplicatie persoonsgegevens ingezien konden worden. Ook als niet kan worden vastgesteld of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd, moet de inbreuk worden beschouwd als een datalek. In dat geval kan immers niet worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt.

Wat is het doel van de meldplicht datalekken?

Met ingang van 1 januari 2016 is de meldplicht datalekken toegevoegd aan de Wet bescherming persoonsgegevens (Wbp). Volgens de Memorie van Toelichting van het wetsvoorstel is het doel van de meldplicht het voorkomen van datalekken en indien deze zich toch voordoen, het beperken van de gevolgen ervan voor de betrokkenen. Aanleiding voor het invoeren van de meldplicht was een aantal incidenten waarbij persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen.

Wanneer moet u een datalek melden aan de Autoriteit Persoonsgegevens?

Op grond van de Wbp moet een datalek worden gemeld bij de Autoriteit Persoonsgegevens (AP) als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Ook als een datalek leidt tot ‘een aanzienlijke kans’ op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht. Uit de handleiding AVG van het Ministerie van Justitie en Veiligheid blijkt dat onder de AVG in beginsel ieder datalek moet worden gemeld, ‘tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. Een datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur na de ontdekking te worden gemeld bij het meldloket datalekken van de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging.

Wanneer moet u een datalek melden aan de betrokkenen?

Een datalek dient op grond van de Wbp te worden gemeld aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie. In de AVG is bepaald dat een organisatie een betrokkene op de hoogte moet brengen van een inbreuk op de persoonsgegevens indien de inbreuk ‘een hoog risico’ voor betrokkenen inhoudt. Hierop gelden een aantal uitzonderingen. Zo hoeft een betrokkene niet geïnformeerd te worden wanneer een organisatie maatregelen heeft genomen waarmee de vastgestelde risico’s zijn weggenomen. Ook geldt een uitzondering op de meldingsplicht aan betrokkenen voor financiële ondernemingen, als bedoeld in artikel 1:1 Wet op het financieel toezicht. Deze uitzondering betekent overigens niet dat de financiële onderneming betrokkenen niet hoeft te informeren; als de zorgplicht daarom vraagt, zal ook de financiële onderneming, ondanks de uitzondering in de Wbp, de betrokkenen moeten informeren over het datalek.

Wat verandert er aan de meldplicht datalekken onder de AVG?

Volgens het AVG-10 stappenplan van de AP blijft de meldplicht datalekken onder de AVG grotendeels hetzelfde. Wel stelt de AVG strengere eisen aan de registratie van datalekken: alle datalekken moeten worden gedocumenteerd. In oktober 2017 hebben de Europese toezichthouders richtlijnen gepubliceerd ten aanzien van de meldplicht datalekken onder de AVG. Deze zogenaamde guidelines staan nog open voor publieke consultatie.

Wat doet de AP met een datalekmelding?

Op basis van de melding van een datalek kan de AP bijvoorbeeld besluiten een onderzoek in te stellen, een sanctie op te leggen of een organisatie wijzen op de plicht om betrokkenen op de hoogte te stellen van het datalek. Uit het jaarverslag over 2016 blijkt dat de AP in het eerste jaar dat de meldplicht van kracht was bijna 5700 meldingen heeft ontvangen. In ruim 4000 gevallen heeft de toezichthouder een oriënterend onderzoek gedaan. Ruim 100 organisaties kregen een waarschuwing.

Wat zijn de sancties voor het niet nakomen van de meldplicht datalekken?

Bij een overtreding van de Wbp kan de AP een bestuurlijke boete opleggen van maximaal 820.000 euro. Met de inwerkingtreding van de AVG worden de sancties fors verhoogd: het nalaten van het melden van een datalek kan worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Daarnaast kan de AP bijvoorbeeld met een bindende aanwijzing van een organisatie verlangen dat een datalek alsnog wordt gemeld aan de betrokkenen. Het niet nakomen van deze aanwijzing kan worden bestraft met een bestuurlijke boete of een last onder dwangsom.

Meer weten?

Bij Charco & Dique beschikken we niet alleen over gedetailleerde kennis van de steeds veranderende financiële wet-en regelgeving, maar hebben we als geen ander de ervaring in huis om onze klanten te ondersteunen bij de toepassing ervan. Soms strategisch, soms pragmatisch maar altijd duurzaam en met vooruitziende blik. Wilt u meer weten over de mogelijkheden? Neem dan contact met ons op.

Contact