Wet meldplicht datalekken

Vooruitlopend op de Europese Algemene Verordening Gegevensbescherming (AVG) heeft onze Nederlandse wetgever in 2016 de meldplicht datalekken ingevoerd in onze Wet bescherming persoonsgegevens (Wbp). Een datalek is een inbreuk op de maatregelen die een partij neemt ter bescherming van persoonsgegevens, wanneer deze leidt tot de aanzienlijke kans op ernstige nadelige gevolgen (of ernstige nadelige gevolgen heeft) voor de bescherming van persoonsgegevens. Denk hierbij aan vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

 

De feiten en de cijfers over 2016

Eind 2016 deed toezichthouder Autoriteit Persoonsgegevens (hierna: Autoriteit of AP) een terugblik. In 2016 heeft de Autoriteit zo’n 5.500 meldingen ontvangen en ruim 4.000 meldingen nader bekeken en daarover nadere vragen gesteld. De Autoriteit heeft ruim 100 waarschuwingen uitgedeeld en in enkele tientallen gevallen doet de Autoriteit meer diepgaande onderzoeken, die momenteel nog lopen.

De meeste meldingen zijn afkomstig uit de zorgsector (29%, waaronder zorgverzekeraars en ziekenhuizen), de financiële sector (17%) en het openbaar bestuur (15%). Dit zijn sectoren waar al snel sprake zal zijn van gevoelige persoonsgegevens, zoals medische gegevens of het burgerservicenummer (BSN).

Bron: Autoriteit Persoonsgegevens, 1 jaar meldplicht datalekken: facts & figures 2016

 

Veel voorkomende datalekken

De Autoriteit heeft te maken met de volgende regelmatig voorkomende datalekken:

  • Iemand ziet in een online portaal de persoonsgegevens van een ander;
  • Iemand raakt een gegevensdrager (zoals een USB-stick) kwijt waarop onversleutelde persoonsgegevens staan;
  • De laptop of smartphone met daarop (onversleutelde) persoonsgegevens wordt gestolen;
  • Een poststuk met daarin persoonsgegevens komt niet aan bij de geadresseerde of wordt geopend retour gezonden;
  • Een e-mail komt aan bij de verkeerde ontvanger.

 

Wat de Autoriteit Persoonsgegevens doet bij een melding

De acties die de Autoriteit doet na een melding kunnen inhouden:

  • dat de AP over de melding contact opneemt met een organisatie om de informatie in een melding te verifiëren en zo nodig aan te vullen;
  • dat de AP een eerste of nader onderzoek instelt of overgaat tot handhaving;
  • dat de AP verantwoordelijken wijst op de plicht om betrokkenen te informeren over het datalek;
  • dat de AP besluit tot (algemene) voorlichting naar aanleiding van een binnengekomen melding om – onder andere – organisaties bewust te maken van mogelijke beveiligingsrisico’s.

Of de Autoriteit ook de veelgevreesde boetes zal gaan opleggen naar aanleiding van de nog lopende onderzoeken is nog niet bekend.

 

Hulp bij datalekken

Een datalek kan niet altijd voorkomen worden. Toch is het goed om voorzorgsmaatregelen te nemen en te weten wat uw organisatie moet doen wanneer er zich onverhoopt een datalek manifesteert. Bij het opstellen van beleidsregels en protocollen, het doen van meldingen, contacten met de Autoriteit of het kwalificeren van een mogelijk datalek kan NORD Advocatuur u zeer goed helpen. Wees goed voorbereid.

 

Geplaatst op 5 januari 2017 door Koen Konings