Wet meldplicht datalekken een feit

  • Share

Het hing al geruime tijd in de lucht, maar op 26 mei 2015 heeft de Eerste Kamer het wetsvoorstel ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ (“Wet Meldplicht datalekken”) aangenomen.

De wet is een voorloper op de nieuwe Europese privacy verordening die naar verwachting medio 2017-2018 in werking zal treden. Wanneer de Wet Meldplicht Datalekken in werking treedt is nog niet precies duidelijk, maar naar verwachting zal dit nu niet meer lang op zich laten wachten.

Wel is duidelijk dat de veranderingen een grote impact (kunnen) hebben op organisaties. Zowel operationeel als financieel. De wet geldt voor iedere organisatie die persoonsgegevens verwerkt en dus dient iedere organisatie hier op in te spelen.

Wat staat er in?
Het wetsvoorstel introduceert een meldplicht voor datalekken èn kent een boetebevoegdheid toe aan het College bescherming persoonsgegevens (voortaan: Autoriteit Persoonsgegevens (“AP”) genaamd). De boetebevoegdheid ziet niet alleen op de datalekken, maar op alle formele en materiële verplichtingen voor de verantwoordelijke die in de Wet bescherming persoonsgegevens (“Wbp”) staan zoals de doelbinding, de rechtmatige grondslag voor verwerking, de kwaliteit van de gegevens, de informatieplichten aan de betrokkenen en de beveiliging van de persoonsgegevens.

De meldplicht geldt voor alle datalekken die leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. In dat geval moet de datalek gemeld worden bij de AP. Indien er een aanzienlijke kans is op ernstige nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen dient dit ook bij de AP te worden gemeld. De meldplicht geldt eveneens wanneer er sprake is van een datalek van versleutelde gegevens. Verder dienen de datalekken te worden gedocumenteerd.

Wat kan een datalek zijn?
In de Memorie van Antwoord geeft de wetgever voorbeelden (niet limitatief) van datalekken die leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Zo noemt hij de omstandigheid waarbij er vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. Deze laptops bevatten gevoelige gegevens over de gezondheid, welzijn en andere persoonsgegevens van meer dan 2000 kinderen.

Daarnaast noemt hij het voorbeeld dat een medewerker van een internetprovider zijn logingegevens aan een derde partij heeft gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen. Bij voorgaande voorbeelden heeft de inbreuk nadelige gevolgen voor de bescherming van persoonsgegevens van de betrokkenen en moeten de datalekken gemeld worden bij de AP.

Ook indien er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, moet de datalek worden gemeld bij het AP. De wetgever heeft aangegeven dat hier bijvoorbeeld in de volgende situatie sprake van is:  een derde partij heeft toegang gekregen tot een database met inlognamen en bijhorende onleesbaar gemaakte wachtwoorden van een website van een telefoonbedrijf, waarbij het mogelijk is dat bepaalde wachtwoorden achterhaald kunnen worden. Op deze website kunnen klanten inloggen om hun financiële- en belgegevens te kunnen zien.

Wat betekent dit voor uw organisatie?
De wetswijziging heeft tot gevolg dat een organisatie die zich niet houdt aan de verplichtingen op grond van de Wbp kan worden beboet door de AP. Indien een organisatie wordt geconfronteerd met een datalek waarvan (nog niet) vaststaat dat deze ernstige nadelige gevolgen voor de bescherming van persoonsgegevens kan hebben, kan zij mogelijk toch de verplichting hebben dit te melden bij de AP, gelet op het “aanzienlijke kans”-criterium. Kortom, ook al staat nog niet vast dat een datalek ernstige nadelige gevolgen voor de bescherming van persoonsgegevens kan hebben, zal deze toch, onder omstandigheden, gemeld moeten worden.

Daarnaast geldt er ook een verplichting om een datalek te melden aan een betrokkene, met andere woorden; aan degene wiens persoonsgegevens het betreft.

Consequenties bij niet-naleving?
In geval van niet melden kan de AP een boete opleggen tot een maximum van € 810.000,= of 10% van de jaaromzet. Met de toegekende boetebevoegdheid wordt afscheid genomen van de ‘tandeloze tijger’ die het Cbp ooit was.

Wat te doen?
Een goede risico-inventarisatie (of privacy impact assessment), zoals bij de introductie van nieuwe (IT-)software is essentieel. Ook zal privacy by design binnen organisaties steeds belangrijker worden. NB: dit geldt ook wanneer bepaalde (IT-)diensten door derden worden uitgevoerd. Immers de organisatie blijft uitsluitend verantwoordelijke.

Het is van belang dat er met deze derden goede onderliggende afspraken – zowel juridisch, technisch als organisatorisch – zijn gemaakt en zijn vastgelegd in een overeenkomst. Een organisatie wil én moet deze derde er immers op kunnen aanspreken wanneer hij zijn zaken niet op orde heeft, waardoor de organisatie niet ‘compliant’ is en een forse boete boven het hoofd hangt.

Open normen, grote risico’s
De Wbp staat vol met begrippen zoals ‘aanzienlijke kans’, ‘ernstige gevolgen’ en ‘waarschijnlijk ongunstige gevolgen’. Dit zijn zogenaamde open normen. De invulling van deze begrippen maakt een juiste afweging lastig en vormt een extra barrière voor organisaties om goed uitvoering te geven aan hun privacy- en databeveiligingsbeleid. Dit terwijl een correcte uitvoering van het privacy- en databeveiligingsbeleid met de introductie van de hierboven genoemde boetebevoegdheid van de AP in belang toeneemt.

Actie
Kortom, het ‘wat’ is duidelijk, de risico’s ook, maar ‘hoe’ gaat u daar mee om? Welke maatregelen moet u treffen? Wij helpen u daarbij graag met onze unieke geïntegreerde aanpak door privacy advocaten en IT-auditoren.