Let’s get digital: Meldplicht datalekken

De wereld digitaliseert in rap tempo en de hoeveelheid data die hierbij wordt opgeslagen neemt fors toe. Zo is (om een klein voorbeeld te geven) 90% van alle beschikbare data wereldwijd in de periode 2013 – 2014 geproduceerd. Deze data bestaat niet alleen uit leuke foto’s op social media en grappige Youtube video’s, maar ook uit belangrijke – en in sommige gevallen – zeer privacy-gevoelige informatie

Datum:  21 november 2016

Gewijzigd  14 november 2023

Geschreven door:  Valerie Lipman

Leestijd:  +/- 2 minuten

De wereld digitaliseert in rap tempo en de hoeveelheid data die hierbij wordt opgeslagen neemt fors toe. Zo is (om een klein voorbeeld te geven) 90% van alle beschikbare data wereldwijd in de periode 2013 – 2014 geproduceerd. Deze data bestaat niet alleen uit leuke foto’s op social media en grappige Youtube video’s, maar ook uit belangrijke – en in sommige gevallen – zeer privacy-gevoelige informatie.  De data blijft jarenlang digitaal beschikbaar. Dat is handig, maar brengt ook risico’s met zich mee. Wat als deze informatie bijvoorbeeld wordt gestolen of op een andere manier verloren raakt? Tot voor kort kon de toezichthoudende instantie hier weinig tegen doen. Er bestond namelijk geen plicht om melding te maken van dit soort incidenten. De overheid heeft de noodzaak van passende maatregelen erkent en komt nu met een Meldplicht datalekken. Vanaf 1 januari zijn bedrijven en overheden verplicht om zogenoemde “datalekken” te melden aan de Autoriteit Persoonsgegevens (AP) en soms ook aan de betrokkenen. Voldoen zij niet aan deze meldplicht, dan kan de AP behoorlijke boetes opleggen tot wel €810.000,-.

Wanneer worden persoonsgegevens verwerkt?

Persoonsgegevens zijn alle gegevens over een identificeerbare natuurlijk persoon. Dat kunnen gegevens zijn die direct naar iemand verwijzen, zoals zijn naam. Het kan ook gaan om gegevens die indirect te herleiden zijn naar een persoon, zoals een telefoonnummer, postcode, of meer gevoelige informatie over iemands godsdienst, of gezondheid.

Nagenoeg ieder bedrijf slaat persoonsgegevens van individuen op in een bestand, een verzameling. Denk aan huisartsen met een digitaal patiëntendossier, hostingbedrijven die de data van hun klanten beheren en ieder willekeurig bedrijf dat een salarisadministratie bijhoudt. Vrijwel al dit soort data wordt opgeslagen in clouds, op laptops, externe harde schijven en op USB-sticks.

Zodra persoonsgegevens worden verwerkt, is de Wet Bescherming Persoonsgegevens van toepassing. Verwerken is een ruim begrip. Ook het enkele opslaan van persoonsgegevens valt hieronder.

Wat is een datalek?

Bij een datalek gaat het om gevallen waarin er sprake is van inbreuk op de beveiliging, waarbij persoonsgegevens verloren zijn gegaan, of niet redelijkerwijs kan worden uitgesloten dat er persoongegevens onrechtmatig zijn verwerkt. Denk bijvoorbeeld aan een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak door een hacker, een malware-besmetting of een calamiteit zoals een brand in een datacentrum.

Dat dit soort incidenten zich voordoen blijkt uit recent nieuws. Zo is een aantal USB-sticks gestolen van een Officier van Justitie tijdens een woninginbraak. Op deze USB-sticks stond gevoelige informatie over een strafdossier. Dit soort incidenten zal onder de toekomstige wetgeving gemeld moeten worden bij de AP en waarschijnlijk ook bij de betrokkenen. Voor wie geldt de meldplicht datalekken?

De meldplicht datalekken geldt voor Nederlandse bedrijven en overheidsinstanties. Als je als bedrijf geheel of gedeeltelijk geautomatiseerd persoonsgegevens verwerkt (en dit kan dus al snel aan de orde zijn) dan is de kans groot dat je gehouden bent aan de meldplicht. Voor burgers is er op dit moment geen meldplicht.

Wanneer moet een datalek worden gemeld?

Er dient melding bij de AP te worden gedaan indien er sprake is van ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. In sommige gevallen moet er ook melding worden gedaan bij de betrokkenen zelf. Dit is het geval als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer. Op de website van de AP staat een uitgebreid document met richtsnoeren voor bedrijven en overheidsinstanties om te bepalen wanneer er melding moet worden gemaakt.

Wat zijn de mogelijke gevolgen van het niet melden van een datalek?

Door de aanpassing van de Wet Bescherming Persoonsgegevens kan de AP hoge boetes opleggen voor overtredingen. Indien niet aan de verplichting wordt voldaan om persoonsgegevens adequaat te beveiligen of de meldplicht niet wordt nageleefd kunnen boetes worden opgelegd van €20.500,- voor lichte overtredingen, tot maximaal €820.000,- voor opzettelijke en herhaaldelijke overtredingen. Daarnaast is de boete voor rechtspersonen geflexibiliseerd. Dit betekent dat de AP voor een passende bestraffing ook een boete tot 10% van de jaaromzet van de rechtspersoon mag opleggen.

Hoe wordt een datalek gemeld?

Het meldpunt datalekken kan worden bereikt via de website van de AP. De melding wordt gedaan door middel van het invullen van een online formulier. Het formulier zal begin januari 2016 online beschikbaar zijn.

Conclusie

De recente ontwikkelingen op ICT-gebied en de steeds groter wordende afhankelijkheid van internet maken de Meldplicht Datalekken tot een welkome aanvulling op de bescherming van persoonsgegevens. Het zal moeten worden bezien of de invoering tot het gewenste resultaat leidt, namelijk zorgvuldige bescherming van persoonlijke informatie. Passende wetgeving is namelijk niet de oplossing voor het probleem. Zowel overheden als bedrijven zullen de noodzaak moeten inzien van het goed beschermen van gegevens, zeker nu de digitalisering in sneltreinvaart toeneemt en incidenten aan de orde van de dag zijn.


Blijf scherp

Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.