Leestijd: 4 minuten
Meldplicht datalekken
Op 1 januari 2016 wordt de meldplicht datalekken uitgebreid. Dit houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Bovendien zullen organisaties een melding moeten doen aan de betrokkenen indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hen. Eerder nam NORD Advocatuur het concept van de richtsnoeren onder de loep en daarbij werd ook uiteen gezet wat precies onder “datalekken” verstaan moet worden.
Wanneer moeten datalekken gemeld worden?
Uit de wet volgt wie wanneer welke datalekken dient te melden (artikel 34a Wbp, geldig vanaf 1 januari 2016): Het zal afhangen van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een melding van het datalek bij de toezichthouder is verplicht als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moet het datalek ook worden gemeld aan de betrokkenen op wie de persoonsgegevens betrekking hebben. Zij moeten op de hoogte worden gebracht als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.
Beleidsregels meldplicht datalekken van het CBP
Op 9 december 2016 heeft het CBP zijn Beleidsregels meldplicht datalekken in definitieve vorm gepubliceerd. De meldplicht datalekken is volgens het College Bescherming Persoonsgegevens (CBP) geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen. In de beleidsregels wordt de wettelijke regeling uitgebreid uiteen gezet.
Een van de belangrijkste tips uit de beleidsregels zijn de aandachtspunten van zaken die verantwoordelijken (diegenen die over de persoonsgegevens gaan) een aantal zaken met bewerkers (diegenen die voor verantwoordelijken de gegevens verwerken, zoals IT-leveranciers) dienen te regelen:
- Gaat de bewerker u daadwerkelijk informeren over alle relevante incidenten?
- Gaat de bewerker eventueel zelf meldingen doen aan de Autoriteit Persoonsgegevens?
- Ontvangt u per incident alle informatie die u nodig heeft?
- Hoe gaat de bewerker u informeren over de incidenten?
- Wordt u tijdig geïnformeerd over de incidenten?
- Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die de bewerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen?
- Kunt u vaststellen dat u daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt?
Dit kan met een zogenaamde bewerkersovereenkomst, die voor elke verantwoordelijke verplicht is om te sluiten met haar bewerkers op grond van artikel 14 Wbp. Ook dit artikel is uitgebreid naar aanleiding van de strengere meldplicht. Het opstellen van dergelijke bewerkersovereenkomsten is een specialisme van NORD Advocatuur.
Autoriteit Persoonsgegevens en boetebevoegdheid
Vanaf 1 januari 2016 zal het CBP ook onder een andere naam door het leven gaan: Autoriteit Persoonsgegevens. Dit sluit beter aan bij de andere autoriteiten die Nederland al heeft, zoals de Autoriteit Financiële Markten en Autoriteit Consument & Markt. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete van maximaal € 820.000,= geven als zij een datalek ten onrechte niet melden.
Het kan verstandig zijn om uw organisatie eens goed onder de loep te nemen op compliance aan de privacyregels, bijvoorbeeld door het uitvoeren van een zogeheten Privacy Impact Assessment (PIA) of het laten beoordelen van de bewerkersovereenkomst. Uiteraard is