020 530 0160

De meldplicht datalekken: (bijna) een jaar verder

Gepubliceerd op 7 december 2016 categorieën 

Bijna een jaar na invoering van de meldplicht datalekken zijn er bijna 4000 datalekken gemeld bij de Autoriteit Persoonsgegevens (hierna “AP”). In mei van dit jaar meldde de Autoriteit Persoonsgegevens sinds 1 januari “ruim 1600” datalekken zijn gemeld. “Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn”, aldus vicevoorzitter AP Wilbert Tomesen. Het is daarom nog maar de vraag of de meldplicht datalekken de gewenste uitwerking heeft. Maar wat is een datalek ook al weer precies en hoe moet er mee worden omgegaan?

 

Wat is een datalek?

 

Er is sprake van een datalek als zich een beveiligingsincident heeft voorgedaan. Denk hierbij aan de diefstal van een laptop of het verlies van een USB-stick, maar ook aan een brand of aan de ‘inbraak’ in de databases door een hacker. Maar niet ieder beveiligingsincident is vervolgens ook een datalek. We spreken pas over een datalek als bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of anderszins sprake is geweest van een onrechtmatige verwerking van persoonsgegevens. De vernietiging, wijziging of het vrijkomen van persoonsgegevens wordt ook gezien als een datalek.

 

Wanneer moet ik het datalek melden aan de Autoriteit Persoonsgegevens?

 

Niet elk datalek hoeft ook daadwerkelijk gemeld te worden bij de AP. Dit moet alleen als er door het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als er een aanzienlijke kans daarop bestaat. Een belangrijke factor die hierbij een rol speelt, ligt in de aard van de gelekte persoonsgegevens. Als deze van ‘gevoelige aard’ zijn, is melding in principe verplicht. Denk hierbij aan gegevens over iemands ras, gezondheid, strafblad en religie maar ook financiële gegevens en inloggegevens zijn gevoelige gegevens.

 

De hoeveelheid gegevens en het aantal betrokkenen (en hun kwetsbaarheid) zijn ook van invloed om te kunnen spreken van een datalek. Een datalek moet in beginsel binnen 72 uur na ontdekking gemeld worden aan de AP. Dat kan bij het meldloket datalekken van de AP.

 

Wanneer moet ik het datalek melden aan de betrokkenen?

 

Als een datalek gemeld moet worden aan de AP, dan betekent dit niet per definitie dat het datalek ook aan de betrokkenen moet worden gemeld. Hiervoor moet een aparte afweging worden gemaakt.

 

Een datalek hoeft alleen aan de betrokkene te worden gemeld, indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De betrokkenen moeten, kort gezegd, in hun belangen zijn geschaad. Denk bijvoorbeeld aan schending van hun eer en goede naam door middel van een onrechtmatige publicatie, discriminatie of identiteitsfraude. Ook hier geldt dat als er persoonsgegevens van gevoelige aard zijn gelekt, er een melding moet worden gedaan aan de betrokkenen.

 

Indien de ‘lekkende’ verantwoordelijke organisatie technische maatregelen heeft getroffen waardoor de persoonsgegevens ontoegankelijk zijn voor onbevoegden kan een melding achterwege blijven. Bijvoorbeeld door middel van adequate versleuteling van de gegevens en de drager.

 

Wat zijn de gevolgen van niet melden?

 

Bij overtreding van de meldplicht datalekken kan de AP een boete opleggen. Deze boete kan oplopen tot € 820.000 of 10% van de jaaromzet. Als er geen sprake is van ernstige verwijtbare nalatigheid, en de overtreding niet opzettelijk plaatsvond, zal de AP eerst een bindende aanwijzing opleggen.

 

Met dank aan Sjors Peeters.

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Lora

publicaties

Gerelateerde artikelen