Met ingang van 1 januari 2016 is de meldplicht datalekken ingegaan. Deze aanvulling op de Wet bescherming persoonsgegevens (Wbp) betekent dat ernstige datalekken gemeld moeten worden bij de Autoriteit Persoonsgegevens en soms ook bij de personen wiens gegevens betrokken zijn bij het datalek. Niet voldoen aan uw verplichtingen kan nu ook leiden tot hoge boetes.

Wat is een datalek?

De Wbp verplicht u om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatig gebruik. Een datalek is een inbreuk op de door u getroffen maatregelen, waarbij u niet kunt uitsluiten of persoonsgegevens zijn blootgesteld aan verlies of onrechtmatig gebruik.

Als voorbeelden van datalekken kunt u denken aan:

• Een werknemer die zijn laptop achterlaat in de trein;
• Een inbraak door een hacker;
• Een malware of cryptoware-besmetting;
• Een brand in een datacentrum;

Moet een datalek gemeld worden bij de Autoriteit Persoonsgegevens?

Niet elk datalek hoeft gemeld te worden bij de Autoriteit Persoonsgegevens. Een datalek moet slechts gemeld worden indien het datalek heeft geleid tot (een ernstige kans op) nadelige gevolgen voor de bescherming van persoonsgegevens. Voor beantwoording van de vraag of hiervan sprake is, kunt u niet terecht bij de Autoriteit Persoonsgegevens. U dient deze vraag zelf te beantwoorden.

De Autoriteit Persoonsgegevens geeft wel enkele handvatten voor de beoordeling van de ernst van een datalek. Betreft het datalek persoonsgegevens van gevoelige aard, zoals bijvoorbeeld gegevens over iemands godsdienst, financiële situatie of inloggegevens, dan zal het datalek bijna altijd gemeld moeten worden. Indien geen persoonsgegevens van gevoelige aard zijn gelekt, dan spelen de aard en de omvang van het datalek een rol. Hoe ingrijpender de keuzes zijn die worden gemaakt op basis van de gelekte persoonsgegevens en hoe groter de groep personen wiens gegevens zijn gelekt, hoe groter de kans dat het datalek moet worden gemeld.

Moet een datalek gemeld worden bij de betrokken persoon?

Een datalek moet bij de betrokken persoon gemeld worden, indien het datalek waarschijnlijk ongunstige gevolgen kan hebben voor diens persoonlijke levenssfeer.

Ook deze vraag dient u zelf te beantwoorden. Van belang is of de gelekte gegevens op een dergelijke manier zijn beveiligd dat deze ontoegankelijk of onbegrijpelijk hebben gemaakt voor onbevoegden. Ook is van belang of de gelekte gegevens zijn blootgesteld aan aantasting of vernietiging. De Autoriteit Persoonsgegevens hanteert een strenge norm. Indien bijvoorbeeld de persoonsgegevens zijn blootgesteld aan het risico op vernietiging of aantasting (denk aan besmetting met cryptoware), dan is volgens de Autoriteit Persoonsgegevens geen sprake geweest van adequate beschermingsmaatregelen.

Boetes van de Autoriteit Persoonsgegevens

Met de inwerkingtreding van de meldplicht datalekken is ook de bevoegdheid van de Autoriteit Persoonsgegevens om boetes op te leggen fors uitgebreid. Constateert de Autoriteit Persoonsgegevens een overtreding, dan zal zij de overtreder een aanwijzing geven die opgevolgd zal moeten worden. Word de aanwijzing niet opgevolgd, dan kan de boete voor de overtreding oplopen tot € 820.000,00. Indien de overtreding opzettelijk is begaan of sprake is van ernstig verwijtbare nalatigheid, dan kan de Autoriteit Persoonsgegevens direct een boete opleggen. 

Controleer uw beveiligingsmaatregelen en werkwijzen

Zoals u kunt lezen kan het treffen van inadequate beveiligingsmaatregelen of een onjuiste afhandeling van een datalek grote financiële gevolgen voor u hebben. Het is dan ook van groot belang dat u controleert of de door u genomen beveiligingsmaatregelen en gehanteerde werkwijzen nog voldoen aan de huidige wetgeving.

Mocht u vragen hebben over de meldplicht datalekken, meer informatie willen of uw werkwijze bij een datalek laten controleren dan kunt u uiteraard contact opnemen met ons kantoor. Wij zijn u graag van dienst.