Inleiding
Per 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat alle organisaties (zowel bedrijven als overheden) die persoonsgegevens verwerken datalekken direct moeten melden aan College bescherming persoonsgegevens (CBP). In bepaalde gevallen moet ook worden gemeld aan de betrokkene (degene van wie het persoonsgegeven is weggelekt).
Datalek
We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Hiervan is sprake indien de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick, een gestolen laptop, een inbraak door een hacker, verzending van e-mail waarin alle e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden, een malware-besmetting of een calamiteit zoals een brand in een datacentrum.
Richtsnoeren
De meldplicht is geclausuleerd, dat wil zeggen dat een datalek alleen hoeft te worden gemeld als deze leidt tot “een aanzienlijke kans op ernstige nadelige gevolgen” voor de bescherming van de persoonsgegevens. Het is niet altijd eenvoudig om te bepalen of een datalek aan dit criterium voldoet. Op 21 september 2015 heeft het CBP concept richtsnoeren gepubliceerd over de meldplicht datalekken. Deze richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij het CBP en eventueel aan de betrokkenen. In de richtsnoeren staan diverse concrete voorbeelden genoemd van datalekken die moeten worden gemeld. De richtsnoeren treden in werking op 1 januari 2016.
Boetes
Per 1 januari 2016 verandert de naam van het CBP in “Autoriteit voor Persoonsgegevens”. De hoofdregel is dat de datalek onverwijld (lees: binnen 2 werkdagen) na ontdekking moet worden gemeld bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens zal een webformulier op haar website plaatsen waarmee de melding kan worden gedaan. Nadat dit webformulier volledig is ingevuld zal de Autoriteit Persoonsgegevens een ontvangstbevestiging sturen. Op het niet melden van datalekken staan hoge boetes die kunnen oplopen tot € 810.000,- of 10% van de jaaromzet van de organisatie (indien dit op een hoger bedrag uitkomt dan € 810.000,-).
Risico’s afdekken
Als gevolg van de meldplicht datalekken ontstaan bij de verwerking van persoonsgegevens aansprakelijkheids- en kostenrisico’s voor organisaties. Binnen ketens en netwerken moeten daarom deugdelijke contracten worden opgesteld, die deze risico’s beheersen en daarmee de organisatie weerbaar maken. Indien een organisatie een derde partij inschakelt voor de verwerking van persoonsgegeven, bepalen de richtsnoeren van het CBP dat het sluiten van een bewerkersovereenkomst verplicht is. In de webshop van ons kantoor kunt u een model bewerkersovereenkomst downloaden.