Meldplicht datalekken per 1 januari 2016
Per 1 januari 2016 is de Wet Meldplicht Datalekken ingevoerd. De wetgever wilde hiermee vooruitlopen op de komst van de Algemene Verordening Gegevensbescherming (AVG) per 25 mei 2018. Op grond van deze wetgeving zijn organisaties verplicht bij constatering van een datalek (iedere situatie waarbij persoonsgegevens vernietigd zijn dan wel (mogelijk) in handen vallen van een ongeautoriseerde derde) dit te melden bij de Autoriteit Persoonsgegevens. Maar wanneer is er sprake van een datalek en hoe moet dit gemeld worden? Wij verduidelijken dit voor u in het onderstaande artikel.
Wat is een datalek?
We spreken van een datalek als persoonsgegevens terecht komen bij derden, die geen toegang tot die gegevens zouden mogen hebben, dan wel wanneer deze persoonsgegevens zijn vernietigd, gewijzigd of zijn verplaatst, zonder dat dit de bedoeling was. In de meeste gevallen gaat het om uitgelekte computerbestanden, maar ook fysieke dossiers of lijsten met persoonsgegevens kunnen bij onbevoegden terechtkomen of door brand worden verwoest. Bij een hacker die zich de toegang heeft verschaft tot privacygevoelige informatie en het verlies of diefstal van een laptop of usb-stick met persoonsgegevens is er eveneens sprake van een datalek.
Zelfs het versturen van een nieuwsbrief per e-mail, waarin de e-mails van alle andere geadresseerden zichtbaar zijn (omdat zij per abuis niet in de bcc zijn verzonden), valt onder de ruime definitie van het begrip datalek. Immers, e-mailadressen zijn ook persoonsgegevens, die door een beveiligingsfoutje aan onbevoegde derden kenbaar zijn gemaakt.
De gegevens die bij een onbevoegde terecht zijn gekomen of kunnen komen, moeten wel persoonsgegevens betreffen. De diefstal van uw geheime marketingstrategie of ontvreemding van een lijst met bedrijfsnamen uit uw crm pakket vallen niet onder de gangbare definitie van datalek.
Wanneer moet u een datalek melden?
Er moet gemeld worden als aan drie voorwaarden is voldaan:
- Er is sprake van een inbreuk op de beveiliging van persoonsgegevens;
- De inbreuk moet zich voordoen bij een publieke of private sector organisatie;
- De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens, met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens, dan wel een kans daarop.
Niet elk datalek hoeft te worden gemeld. Alleen die inbreuken waarvan redelijkerwijs kan worden aangenomen dat die leiden tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die worden verwerkt. Deze ‘ernstige’ datalekken moeten zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek, bij de Autoriteit Persoonsgegevens worden gemeld. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft, maar ook als het om gevoelige gegevens gaat, zoals bijvoorbeeld:
- inloggegevens;
- financiële gegevens;
- kopieën van identiteitsbewijzen;
- school- of werkprestaties;
- gegevens die betrekking hebben op levensovertuiging;
- gegevens die betrekking hebben op gezondheid.
Hoe moet u een datalek melden?
Op de website van de Autoriteit Persoonsgegevens kunt u via het meldloket online uw datalek melden. Deze melding wordt niet openbaar gemaakt.
Heeft het datalek nadelige gevolgen voor de persoonlijke levenssfeer van de personen, van wie de gegevens zijn gelekt, dan dient u het datalek ook aan de betrokken personen zelf te melden. Hierbij moet u denken aan bijvoorbeeld identiteitsfraude of reputatieschade. U hoeft het datalek aan de betrokkenen niet te melden als de gelekte persoonsgegevens onleesbaar zijn (bijvoorbeeld door encryptie) of als deze ontoegankelijk zijn vooronbevoegde (bijvoorbeeld wanneer u de data op een gestolen laptop op afstand kunt wissen).
Let op: indien u een datalek heeft gemeld, betekent dit niet dat u hiermee bent gevrijwaard van alle aansprakelijkheid voor schade. De melding ontslaat u niet van de verplichting de eventuele schade als gevolg van het datalek, dat aan uw handelen of nalaten kan worden toegerekend, te vergoeden.
Wat gebeurt er als u niet voldoet aan de meldplicht datalekken?
De Autoriteit Persoonsgegevens kan u een boete opleggen, indien u:
- een datalek niet meldt, terwijl dat wel moet;
- uw beveiliging van persoonsgegevens niet op orde heeft;
- persoonsgegevens verwerkt zonder toestemming;
- persoonsgegevens exporteert naar landen buiten de EU in strijd met de regels.
De boete kan oplopen tot € 20 miljoen of 4% van de jaaromzet. Vaak zal er eerst een waarschuwing gegeven worden, maar de toezichthouder mag besluiten direct een boete op te leggen als u opzettelijk of grof nalatig heeft gehandeld.
Heeft u hulp nodig bij het melden van een datalek?
Twijfelt u of u een datalek moet melden, of heeft u vragen over het vastleggen van afspraken met degenen die toegang hebben tot de door u verzamelde persoonsgegevens? Vraag een offerte aan via onderstaand contactformulier voor ons advies over de juridische beveiliging van uw persoonsgegevens.
Vraag een offerte voor een datalek-audit door NewBaze:
- Onderzoek naar uw datalekrisico's en uw rechtspositie
- Ondersteuning bij het opstellen van protocollen
- Grip op uw datalekrisico's door passende maatregelen
- Tools om u te behoeden voor nieuwe valkuilen in uw organisatie
- Vooraf heldere afspraken over de kosten