Sinds 1 januari 2016 geldt de meldplicht datalekken voor alle bedrijven die persoonsgegevens verwerken. De meldplicht houdt in dat een ernstig datalek onverwijld moet worden gemeld aan de Autoriteit Persoonsgegevens. In sommige gevallen dient het datalek ook te worden gemeld aan de betrokkene waarvan de persoonsgegevens zijn gelekt. Bovendien dient een overzicht van datalekken te worden bijgehouden. Bij het niet naleven van deze meldplicht kan de Autoriteit Persoonsgegevens het bedrijf een boete opleggen van € 820.000,- of 10% van de jaaromzet.
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of niet kan worden uitgesloten dat persoonsgegevens onrechtmatig zijn verkregen door ongeautoriseerde derden.[1] Een inbreuk op de beveiliging houdt in dat een incident heeft plaatsgevonden.
Enkele voorbeelden van datalekken zijn: inbraak door hacker, laptop gestolen, telefoon verloren, e-mail verstuurd aan verkeerd geadresseerde, etc. Op het gebied van hacken is de zogenaamde ransom hack een nieuwe trend onder cybercriminelen. Een hacker heeft in dat geval uw bestanden versleuteld en vraagt om losgeld, waarna de bestanden weer zullen worden vrijgegeven. Cybercriminelen voeren deze ransom hack vooral op de kleinere bedrijven uit.
Wanneer melden aan Autoriteit Persoonsgegevens?
Een datalek moet alleen worden gemeld als dit ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens of de aanzienlijke kans daarop. Om vast te kunnen stellen of het gaat om een ernstig datalek, moet worden gekeken naar de aard van de gelekte persoonsgegevens en de aard en omvang van de inbreuk.
Het lekken van gevoelige persoonsgegevens zal eerder leiden tot ernstige nadelige gevolgen. Gevoelige persoonsgegevens zijn bijvoorbeeld gegevens over iemands godsdienst, ras, gezondheid, financiële gegevens, inloggegevens, of gegevens die kunnen worden misbruikt voor (identiteits)fraude. Daarnaast zal eerder sprake zijn van ernstige nadelige gevolgen als veel persoonsgegevens over iemand zijn gelekt, of als gegevens van grote groepen personen zijn gelekt. Bovendien zal het lekken van persoonsgegevens van kwetsbare groepen ook eerder ernstig nadelige gevolgen hebben.
“Als sprake is van een ernstig datalek, dan dient dit onverwijld te worden gemeld aan de Autoriteit Persoonsgegevens.”
Als sprake is van een ernstig datalek, dan dient dit te worden gemeld aan de Autoriteit Persoonsgegevens. De melding dient onverwijld plaats te hebben. Onverwijld betekent dat enige tijd bestaat nader onderzoek te verrichten om onnodige meldingen te voorkomen. Wat in een concreet geval als onverwijld moet worden aangemerkt hangt af van de omstandigheden van het geval. Na ontdekking, dient het datalek te worden gemeld zonder onnodige vertraging en zo mogelijk niet later dan 72 uur. Indien na 72 uur nog geen volledig zicht is verkregen op de gevolgen van het datalek, is het verstandig melding van het incident te doen op basis van de beschikbare informatie. De melding kan naderhand altijd nog worden ingetrokken of worden gewijzigd.
Wanneer melden aan betrokkene?
De betrokkene dient op de hoogte te worden gesteld indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. Indien persoonsgegevens zijn gelekt van gevoelige aard, dan moet ervan uit worden gegaan dat ook moet worden gemeld aan de betrokkene. Zijn de gegevens voorzien van adequate bescherming door bijvoorbeeld cryptografie of versleuteling? Dan kan melding aan de betrokkene achterwege worden gelaten. De melding aan de betrokkene is voornamelijk bedoeld om ongunstige gevolgen voor diens persoonlijke levenssfeer voor zover mogelijk te voorkomen. De geïnformeerde betrokkene kan extra voorzorgsmaatregelen treffen, zoals het wijzigen van een wachtwoord.
“De betrokkene dient op de hoogte te worden gesteld indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer.”
Ook de melding aan de betrokkene moet onverwijld worden gedaan. Hierbij moet rekening worden gehouden met het feit dat hoe eerder de betrokkene wordt geïnformeerd, hoe eerder deze voorzorgsmaatregelen kan treffen.
Overzicht datalekken
Ieder bedrijf is verplicht een overzicht bij te houden van alle datalekken die onder de meldplicht vallen. Per datalek moeten in ieder geval de feiten en gegevens omtrent de aard van beveiligingsinbreuk worden vastgelegd. Daarnaast moet – indien van toepassing – de kennisgeving aan de betrokkene in het overzicht worden opgenomen.
“Het niet (op juiste wijze) naleven van de meldplicht datalekken, kan een forse boete opleveren.”
Bestuurlijke boete
De Autoriteit Persoonsgegevens kan bij niet-nakoming van de meldplicht aan de Autoriteit Persoonsgegevens of de betrokkene, een bestuurlijke boete opleggen. Deze boete bedraagt ten hoogste € 820.000,- of – indien dit bedrag geen passende bestraffing is – een boete van ten hoogste 10% van de jaaromzet.[2]
Kortom, het niet (op juiste wijze) naleven van de meldplicht datalekken, kan een forse boete opleveren. Het is dan ook van essentieel belang dat u bij het ontstaan van een datalek juridische begeleiding zoekt.
Paula van den Berg, pvandenberg@bilt.nl
[1] Artikel 34a lid 1 juncto artikel 13 van de Wet bescherming persoonsgegevens.
[2] Artikel 66 van de Wet bescherming persoonsgegevens juncto artikel 23 lid 4 en 7 van het Wetboek van Strafrecht. Zie verder Boetebeleidsregels Autoriteit Persoonsgegevens 2016.
