Meldplicht datalekken en hoge boetes

Meldplicht datalekken
Zowel private als publieke organisaties worden verplicht om inbreuken op de beveiliging te melden als die kunnen leiden tot onrechtmatige verwerking van persoonsgegevens. Het doel van de meldplicht is om een bijdrage te leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens. (Staatsblad 2015, 230)
De plicht tot melden van een datalek geldt als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie zoals hulpverlenings- of strafrechtelijke gegevens of het bsn, niet in overeenstemming met de wet worden verwerkt.

Wanneer melden
Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. De formulering van het nieuwe artikel 34a van de Wbp is als volgt: ‘De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Als die aanzienlijke kans op ernstige nadelige gevolgen zich heeft voorgedaan, moet de gemeente dit binnen een paar dagen melden bij het Cbp.

Hoge boetes, ook voor bewerkers
Naast de meldplicht is ook de boetebevoegdheid verruimd. Het Cbp kan nu een boete opleggen bij een overtreding van een voorschrift, zoals de meldplicht van een gegevensverwerking (art. 27 Wbp). Vanaf 1 januari 2016 zijn boetes ook mogelijk bij schending van de overige verplichtingen die de Wbp voorschrijft. Bijvoorbeeld als persoonsgegevens niet zorgvuldig zijn verwerkt of als niet aan de informatieplicht tegenover de burger wordt voldaan, of als gegevens langer worden bewaard dan noodzakelijk is. De boetes kunnen oplopen tot 810.000 euro (art. 66 Wbp). En mogelijk kan het Cbp ook een boete van maximaal 10% van de nettojaaromzet op leggen. Dit laatste is met name relevant als taken zijn uitbesteed aan een ‘bewerker’ (art. 14 Wbp) en deze bewerker onvoldoende beveiligingsmaatregelen heeft getroffen. Deze hoge boetebepaling loopt vooruit op de EU-verordening welke naar verwachting in 2018 in werking treedt. (COM 2012/0011)

Informeren van de betrokkenen
Naast de meldplicht bij het Cbp is er ook een afzonderlijke meldplicht tegenover de betrokkenen, de burgers, ‘als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. De verantwoordelijke organisatie moet de burgers dan ‘onverwijld’ informeren. (art. 43a lid 2 Wbp)

Naamswijziging Cbp
Tot slot is ook een naamswijziging in de wetswijziging opgenomen; het Cbp gaat vanaf 1 januari Autoriteit persoonsgegevens heten.

Risico’s
De meldplicht datalekken kan vérstrekkende gevolgen hebben. Niet alleen omdat er een fikse boete wordt opgelegd of omdat een organisatie negatief in de publiciteit komt en daarmee het vertrouwen van haar klanten verliest (Zie tubantia.nl 28 mei over de gemeente Hellendoorn en de Argos-radio-uitzending over misbruik van Suwinet, 20 juni op argos.vpro.nl). Maar denk ook aan inzage-verzoeken, aan klacht- of gerechtelijke procedures die gevoerd gaan worden.
Hou de actualiteiten op de website van het Cbp in de gaten. Het Cbp zal nog dit jaar Richtsnoeren publiceren aan de hand waarvan beoordeeld kan worden of een datalek gemeld moet worden, hoe de melding plaats moet vinden en op welke wijze het Cbp handhavend op zal treden. In samenhang met de meldplicht datalekken worden ook de boetebeleidsregels herzien

Maar het beste advies is natuurlijk: voorkom datalekken en boetes, neem technische en organisatorische maatregelen en zorg dat de organisatie zelf de regie heeft en ‘in control’ is.

Tekst: mr. Corrie Ebbers

(gewijzigde tekst ook opgenomen in Burgerzaken & Recht 2015 nr. 4)

Samen met Paulien Bunt, Sophie Vastenhout en Micha Venderbos schreef Corrie Ebbers het boek Privacy in het sociaal domein. Bekijk ook de eerdere blogs van Corrie Ebbers over privacy in het sociaal domein.