Meldplicht datalekken

0

Er is een wijziging in de Wet bescherming persoonsgegevens (Wbp) in voorbereiding, waarbij een brede meldplicht voor datalekken wordt geïntroduceerd. Er bestaat al een meldplicht voor aanbieders van openbare elektronische communicatienetwerken.

Bij een datalek krijgen derden toegang tot persoonsgegevens waartoe zij geen toegang mogen hebben. Dat is dus heel ruim. Het moet daarbij wel gaan om een inbreuk op de beveiliging van persoonsgegevens en er moet sprake zijn van een kans op verlies of onrechtmatige verwerking van persoonsgegevens[[Er is geen meldplicht als de gegevens op passende wijze zijn beschermd, bijvoorbeeld door encryptie.]]. Er is nog een discussie gaande of de melding al verplicht is bij een risico op een datalek, dan wel pas bij een daadwerkelijk lek.

Melding:

Datalekken moeten door de Verantwoordelijke (degene die doel en middelen van de persoonsregistratie bepaalt) – binnen 24 uur – worden gemeld aan:

  • het College bescherming persoonsgegevens (Cbp) en
  • de betrokkene(n) (de persoon waarvan de gegevens worden verwerkt), als aannemelijk is dat de inbreuk nadelige gevolgen heeft voor de persoonlijke levenssfeer van betrokkene(n).

Verder moet er een instantie zijn waar mensen meer informatie kunnen krijgen. Dit kan een call-center zijn, of simpelweg een telefoon die wordt bemand door iemand die mensen te woord kan staan.

Sancties:

Op het niet melden van een datalek staat een sanctie die kan oplopen tot € 810.000, nog afgezien van reputatieschade of civielrechtelijke aansprakelijkheid. Zeker bij een lek van persoonsgegevens over iemands gezondheid (gevoelige gegevens in de zin van de wet) is sprake van een behoorlijk afbreukrisico. Vooral wanneer je bedenkt dat de meldingstermijn maar heel kort is, namelijk: 24 uur. Een dergelijke termijn is heel kort voor het inregelen van alles wat met een datalek te maken heeft. want dat is veel!

Voorbereiding:

Het is bij de implementatie van de nieuwe regels belangrijk dat de IT-afdeling snel een lek kan ontdekken en maatregelen kan treffen om het lek te dichten. Wanneer sprake is van een externe IT-leverancier, of bewerker, is het belangrijk hierover goede contractuele afspraken te maken.

Verder is het handig om een protocol op te stellen, waarin onder meer wordt geregeld wie intern van het lek moet(en) weten, wàt en hoe er extern wordt gemeld (aan een cliënt iets anders dan aan de toezichthouder), wie die instantie is waar je meer informatie kunt krijgen en hoe om te gaan met eventuele communicatie-/reputatierisico’s etc. Dit alles om te zorgen dat er zowel snel als gecoördineerd actie plaatsvindt.

Tot slot: een effectieve sanctie? Of toch niet?

De introductie van een boetebevoegdheid bij een overtreding van de meldplicht datalekken past in een bredere beweging waarbij het Cbp de bevoegdheid krijgt boetes op te leggen bij de overtreding van meerdere normen uit de Wbp. Het wetsvoorstel introduceert die bevoegdheid namelijk voor een groot aantal normen. Hiermee wordt gehoor gegeven aan een reeds lang geuit bezwaar, namelijk dat de handhavingsbevoegdheden van het Cbp – die vooral bestaan uit een last onder dwangsom of een last onder bestuursdwang[[Het Cbp kan thans alleen voor de overtreding van een aantal administratief-juridische verplichtingen een zeer bescheiden boete opleggen. Dit instrument is sinds 2007 niet meer ingezet.]] – te kort schieten voor de effectieve bescherming van persoonsgegevens[[Een inbreuk op de bescherming van persoonsgegevens wordt ook door middel van strafrechtelijke normen geborgd. Echter het strafrechtelijk instrumentarium wordt nauwelijks ingezet.]].

De boetebevoegdheid maakt daar een einde aan. Of niet?

De meldplicht bij een datalek is een heldere norm, waarop een heldere sanctie is gesteld. De wetgever geeft echter de toezichthouder niet de bevoegdheid direct een boete op te leggen. Uiteraard moet het Cbp, net als bijvoorbeeld de ACM, bij een vermoeden van overtreding eerst een onderzoek doen en haar bevindingen vastleggen in een rapport, waarop de Verantwoordelijke kan reageren. Maar, is het rapport van bevindingen eenmaal definitief, dan moet het Cbp eerst een ‘bindende aanwijzing’ geven[[Alleen als sprake is van opzet is geen voorafgaande bindende aanwijzing nodig.]]. Het Cbp moet daarmee ter concretisering van de norm aangeven welke gedraging op grond van de Wbp van de Verantwoordelijke wordt verwacht en hem zo mogelijk opdragen de overtreding geheel of gedeeltelijk te herstellen. Daarbij kan een termijn worden gesteld, waarbinnen de Verantwoordelijke die maatregelen moet treffen. Tegen die bindende aanwijzing kan bezwaar en beroep worden ingesteld.

De bindende aanwijzing is ervoor bedoeld ‘het algemeen-abstracte karakter van de normen uit de Wet bescherming persoonsgegevens concreet te maken’[[Dit in verband met het ‘lex certa’ beginsel.]]. Iedereen wordt geacht de wet te kennen. Het is in dat kader bijzonder dat de overheid inspanningen pleegt om burgers te helpen duidelijkheid over de normstelling te krijgen.

Gevraagd kan worden of er bij de meldplicht datalekken inderdaad sprake is van een norm met een algemeen-abstract karakter. Maar ook of het probleem rond de effectiviteit van de bescherming van persoonsgegevens op deze manier wel wordt opgelost? Bestaat er een voldoende verschil met de bestuurlijke herstelsancties die het Cbp thans kan inzetten. Tot slot kan worden afgevraagd of er niet onnodige toezichtslasten ontstaan. De procedure is wel heel complex.

De wet is nu nog in behandeling in de Tweede Kamer [[kamerstuk nummer 33662]] maar verwacht wordt dat hij in 2015 in werking treedt.

Deel via:

Over de auteur

Monique Ravoo

Jurist : Mededingingsrecht; Privacy; Toezicht en Governance; Verbintenissen- en contractenrecht Contact: 06 49 12 19 09

Reageer

Time limit is exhausted. Please reload CAPTCHA.