Leestijd: 5 minuten

Het College bescherming persoonsgegevens (CBP) heeft op 21 september 2015 de conceptrichtsnoeren over de nieuwe meldplicht datalekken gepubliceerd. Belanghebbenden hebben sindsdien 4 weken de tijd om te reageren op deze conceptversie van de richtsnoeren. De per 1 januari 2016 in te voeren meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Bovendien zullen organisaties een melding moeten doen aan de betrokkenen indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hen. In dit blog neemt NORD Advocatuur het concept van de richtsnoeren onder de loep.

Meldplicht datalekken

De wetswijziging die de meldplicht datalekken zal invoeren is afgelopen zomer door de eerste kamer aangenomen en treedt op 1 januari 2016 in werking. De meldplicht geldt voor iedere organisatie die persoonsgegevens verwerkt en een datalek van persoonsgegevens heeft. Er is sprake van een datalek op het moment van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Het begrip datalek is dus ruimer dan alleen het vrijkomen (lekken) van persoonsgegevens, maar omvat ook vernietiging en andere vormen van onrechtmatige verwerking van persoonsgegevens. Voorbeelden van datalekken zijn een zoekgeraakte laptop met persoonsgegevens, een gestolen smartphone, een hack in een online systeem waarbij een databestand is buitgemaakt of een malware besmetting.

De ernst van het datalek bepaalt of er melding van moet worden gemaakt. Van invloed op de ernst is onder meer welk soort persoonsgegevens dat is gelekt. Het wettelijke criterium luidt dat het lek bij de toezichthouder (het CBP) moet worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Een voorbeeld hiervan is het recente ernstige datalek van datingsite Ashley Madison.

Wanneer het betreffende datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor de persoonlijke levenssfeer van de betrokkenen, de mensen van wie persoonsgegevens wordt verwerkt, dienen deze ook geïnformeerd te worden.

 

Richtsnoeren

De richtsnoeren van het CBP zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij het CBP en eventueel aan de betrokkenen. De conceptrichtsnoeren zijn momenteel hier als pdf te downloaden.

De richtsnoeren behandelen op eenvoudige wijze aan de hand van stroomschema’s en voorbeelden vragen als: Wanneer is de Wet bescherming persoonsgegevens (Wbp) van toepassing op de verwerking? Wat moet uw organisatie regelen als zij persoonsgegevens laat verwerken door een bewerker? Wat is een datalek? Aan wie moet ik een datalek melden? Enzovoort.

Via een webformulier (of fax) zal de melding aan het CBP moeten worden gedaan. Of en hoe er aan betrokkenen moet worden gemeld wordt ook door de richtsnoeren behandeld. Uiteraard zijn er vaak ook extra handelingen nodig, zoals een reset van wachtwoorden en dergelijke.

 

Autoriteit Persoonsgegevens en boetebevoegdheid

Vanaf 1 januari 2016 zal het CBP ook onder een andere naam door het leven gaan: Autoriteit Persoonsgegevens. Dit sluit beter aan bij de andere autoriteiten die Nederland al heeft, zoals de Autoriteit Financiële Markten en Autoriteit Consument & Markt. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete van maximaal € 810.000,= geven als zij een datalek ten onrechte niet melden.

Het kan verstandig zijn om uw organisatie eens goed onder de loep te nemen op compliancy aan de privacyregels, bijvoorbeeld door het uitvoeren van een zogeheten Privacy Impact Assessment (PIA). Uiteraard NORD Advocatuur is u daarbij graag van dienst.

Geplaatst op 22 september 2015 door Koen Konings