Meldplicht datalekken: voorkomen beter dan genezen

0

Sinds 1 januari 2016 geldt een meldplicht voor datalekken. Per die datum is namelijk de Wet bescherming persoonsgegevens (Wbp) gewijzigd en zijn verantwoordelijken[1] verplicht datalekken te melden aan de toezichthouder en aan betrokkenen[2]. Gedurende de eerste week van januari zijn twintig datalekken gemeld. De Wbp gaat er van uit dat verantwoordelijken zelf nagaan of hun gedrag in overeenstemming is met de wet (vergelijkbaar met de Mededingingswet). Op 8 december 2015 zijn echter beleidsregels gepubliceerd die verantwoordelijken daarbij helpen. Ook vormen de beleidsregels voor de toezichthouder (de Autoriteit persoonsgegevens, hierna: ‘de Autoriteit’)[3], uitgangspunt bij het toezicht. Hierna ga ik in op de vraag wat een datalek is, wanneer melden moet, bij wie en door wie, hoe je moet melden en welke voorbereiding mogelijk is.

Bij een datalek is er een inbreuk op de beveiliging

De wet omschrijft een datalek als een inbreuk op de beveiliging van persoonsgegevens, waardoor deze (1) kans lopen blootgesteld te worden aan verlies of onrechtmatige verwerking en (2) niet redelijkerwijze uit te sluiten valt dàt sprake is van verlies of onrechtmatige verwerking. Hieruit blijkt dat het bijvoorbeeld niet uitmaakt of er ook schade is. Er zijn grofweg drie categorieën datalekken:

  • Verlies van gegevens: een laptop in de trein laten liggen of een USB stick vergeten. Zonder back-up is er sprake van een datalek.
  • Een intern lek: een (voormalig) personeelslid speelt opzettelijk persoonsgegevens door.
  • Een extern lek: verschillende vormen van cybercriminaliteit, bijvoorbeeld een malware aanval.

Aard en omvang van de verwerking bepalen de meldingsplicht

Melding aan de Autoriteit is verplicht bij datalekken met (een aanzienlijke kans op) ernstig nadelige gevolgen voor de bescherming van persoonsgegevens. Omvang en aard van de verwerking bepalen dat. Voor de overheid is melding van datalekken meestal verplicht omdat sprake is van omvangrijke verwerkingen van persoonsgegevens. Een lek van gevoelige gegevens, gezondheidsgegevens bijvoorbeeld, moet altijd gemeld worden. Een lek van inloggegevens waarschijnlijk ook. Hierdoor kan zelfs een lek van gegevens van slechts één betrokkene al meldingsplichtig zijn.

De verantwoordelijke moet melden

De verantwoordelijke moet de meldingsplicht naleven, ook als bij de verwerking een bewerker is ingeschakeld. De bewerker mag overigens de melding wel doen, waarbij de verantwoordelijke deze melding nog kan aanvullen of intrekken.

Met een formulier en binnen 72 uur

De Autoriteit heeft een meldingsformulier gemaakt, maar het gebruik ervan is niet verplicht. De melding moet ‘onverwijld’ plaatsvinden en dat is volgens de beleidsregels (in beginsel) binnen 72 uur. Er is dus tijd voor nader onderzoek.

Melding aan betrokkene vraagt een aparte beoordeling

Melding aan betrokkene is verplicht als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer. Bijvoorbeeld als door het datalek bepaalde informatie niet tijdig beschikbaar komt (de laptop van een financieel adviseur wordt gestolen waardoor de hypotheekaanvraag te laat komt). In de volgende gevallen is echter melding aan betrokkene niet verplicht:

  • De gegevens zijn adequaat versleuteld, op het moment van het lek.
  • De gegevens zijn door encryptie ontoegankelijk.
  • Er zijn zwaarwegende redenen om niet te melden.
  • Als de verantwoordelijke een financiële onderneming is[4].

Overigens is dan wel melding bij de Autoriteit verplicht. Melding aan betrokkene moet eveneens ‘onverwijld’, waarbij het belang van betrokkene bepaalt wat dat concreet is. Zo kan melding tijdens een onderzoek naar het lek verplicht zijn, als betrokkene zelf maatregelen kan nemen om schade te beperken.

De melding omvat informatie over de aard van de inbreuk, waar betrokkene informatie kan krijgen en welke maatregelen zijn getroffen om het lek te dichten of schade te beperken. Daarnaast geeft de melding informatie over wat de betrokkene zelf kan doen om de gevolgen van het lek te beperken (zoals een wachtwoord wijzigen). De omvang van het lek bepaalt de meldingswijze. Zo is het toegestaan bij een omvangrijk datalek een e-mail aan betrokkenen te sturen, met een verwijzing naar informatie op de website en een telefoonnummer voor meer informatie. Belangrijk is dat de informatie betrokkene redelijkerwijze bereikt.

Niet melden, toch registreren

Een datalek waarbij melding niet nodig is, moet wel  geregistreerd worden. Hiermee kun je zo nodig aantonen dat de is nageleefd. De beleidsregels werken deze plicht uit en bevatten een beslismodel voor de bewaartermijn (grofweg tussen 1-3 jaar).

Tot slot

Niet melden van een datalek kan leiden tot een boete van maximaal EUR 820.000. In de meeste gevallen kan de toezichthouder echter pas een boete opleggen, nadat een aanwijzing is gegeven. Een aanwijzing lijkt op een last onder dwangsom. D.w.z. de regels worden eerst concreet gemaakt, zodat de verantwoordelijke weet hoe hij in dit geval de regels moet naleven. Maar een beperkt boeterisico sluit uiteraard reputatieschade niet uit. Deze kan groot zijn.

In alle gevallen is voorkomen natuurlijk beter dan genezen. Anders gezegd, zorg ervoor dat de beveiliging van de gegevensverwerking op orde is. Zorg voor backups. En wees voorbereid voor de situatie dat er toch een datalek ontstaat.

Een goede voorbereiding omvat afspraken over de volgende onderwerpen:

  • Maak een checklist met te onderzoeken zaken. Wie onderzoek het datalek en wie informeert wie. Denk aan: Bestuur, Raad van Toezicht, Afdeling Communicatie, Juridische Zaken.
  • Beslis wie de melding van het datalek bij de Autoriteit coördineert.
  • Beleid over de wijze waarop betrokkenen over het datalek worden geïnformeerd: telefoonnummer, advertentie, anders (onder meer afhankelijk van de omvang en gevoeligheid van de registratie).
  • Bepaal hoe je wilt omgaan met signalen uit de buitenwereld over een mogelijk datalek.
  • Controleer of de afspraken met bewerkers up-to-date zijn en leg zo nodig vast dat de bewerker tijdig een datalek meldt, aan wie en met welke informatie. Ga na of de bewerker de beveiliging op orde heeft.

Met deze maatregelen is een datalek niet uitgesloten, maar wordt de kans op reputatieschade en een boete wel kleiner.

Voor meer informatie of een concreet implementatieplan, kunt u contact opnemen met Dr. Mr. M. Ravoo

[1] Degenen die persoonsgegevens verwerken.

[2] Degenen waarvan persoonsgegevens worden verwerkt.

[3] Voorheen College bescherming persoonsgegevens.

[4] Melding moet eventueel wel op grond van de zorgplicht op basis van de Wet op het financieel toezicht.

Deel via:

Over de auteur

Monique Ravoo

Jurist : Mededingingsrecht; Privacy; Toezicht en Governance; Verbintenissen- en contractenrecht Contact: 06 49 12 19 09

Reageer

Time limit is exhausted. Please reload CAPTCHA.