Op 21 september jl. heeft het College Bescherming Persoonsgegevens (“CBP”) richtsnoeren gepubliceerd inzake de meldplicht datalekken (de “Richtsnoeren”). Het betreft een consultatieversie waarop partijen uit de markt vier weken lang kunnen reageren. De Richtsnoeren geven aan hoe het CBP vanaf 1 januari 2016 de meldplicht zoals opgenomen in de Wet bescherming persoonsgegevens (“Wbp”) wil gaan handhaven.
Hieronder treft u een korte samenvatting van de Richtsnoeren aan, waarin wat langer wordt stilgestaan bij een aantal juridisch interessante punten.
Inhoudsopgave
Het CBP is er goed voor gaan zitten. De Richtsnoeren bestaan, inclusief bijlagen, uit 54 pagina’s. In het document worden de volgende onderwerpen behandeld:
1.Voorbereid zijn op de meldplicht
2.Melden of niet?
3.Melden aan het CBP
4.Melden aan de betrokkene
5.Na de melding
1.Voorbereid zijn op de meldplicht
In het eerste hoofdstuk worden de kernbegrippen van de Wbp behandeld. Aan de hand van de daarin gegeven uitleg kan een onderneming bepalen of er persoonsgegevens worden verwerkt en, zo ja, of hij als verantwoordelijke of bewerker kwalificeert.
2.Melden of niet?
Er is sprake van een datalek bij alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken en persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Dit moet ruim worden uitgelegd. Bij zowel goede als slechte beveiliging kan van een datalek sprake zijn.
Alleen als redelijkerwijs uitgesloten kan worden dat persoonsgegevens verloren zijn gegaan of door onbevoegden zijn ingezien, is van een datalek geen sprake (bijvoorbeeld als een lek tijdig wordt ontdekt en aangetoond kan worden dat niemand het lek heeft kunnen misbruiken).
Het CBP heeft hiervoor de volgende beslisboom opgesteld:
Verder wordt aandacht besteed aan de relatie verantwoordelijke/bewerker. De meldplicht geldt alleen voor de verantwoordelijke. De verantwoordelijke moet er daarom voor zorgen dat de bewerker hem tijdig en adequaat informeert over de datalekken waarvan de bewerker kennis krijgt. De verantwoordelijke moet het datalek vervolgens onverwijld melden aan het CBP.
Uit de Richtsnoeren wordt duidelijk dat onverwijld betekent binnen twee werkdagen. Deze termijn van twee werkdagen begint te lopen vanaf het moment dat de verantwoordelijke of de bewerker een incident ontdekt. Dit zal voor grote bewerkers (zoals mondiale cloud aanbieders) een probleem opleveren. Deze partijen hebben veelal geen kennis van de gegevens die zij onder zich hebben en het is zeer de vraag of zij in staat zijn om een verantwoordelijke binnen twee werkdagen over het incident te informeren.
Verder oppert het CBP de mogelijkheid dat de bewerker de initiële melding doet aan het CBP. Hoewel de verantwoordelijke aanspreekpunt blijft voor het CBP, lijkt dit scenario weinig aantrekkelijk. De bewerker haalt op deze wijze meer (contractuele) aansprakelijkheden binnen en de verantwoordelijke verliest (deels) de regie over het incident. Dat de initiële melding op een later moment kan worden ingetrokken of aangevuld doet daar niet aan af.
3.Melden aan het CBP
De kern van de nieuwe meldplicht datalekken wordt gevormd door de melding aan het CBP.Er moet een melding worden gedaan als een datalek (een aanzienlijke kans op) ernstige nadelige gevolgen heeft. Voor partijen die met een datalek worden geconfronteerd, is het dus van groot belang om te weten wat onder “ernstige nadelige gevolgen” moet worden verstaan.
Het CBP biedt twee aanknopingspunten.
In de eerste plaats hanteert het CBP het begrip ‘gevoelige gegevens’. Als er gevoelige gegevens zijn gelekt moet er worden gemeld. Dit is geen wettelijk begrip, zodat het niet duidelijk is wat er precies onder valt. Volgens het CBP bestaan gevoelige gegevens in ieder geval uit:
–Bijzondere persoonsgegevens als bedoeld in artikel 16 Wbp (ras, levensovertuiging, gezondheid, etc.);
–Gegevens over de financiële of economische situatie (schulden, salaris, betalingsgegevens);
–Gegevens die kunnen leiden tot stigmatisering of uitsluiting (gokverslaving, prestatie sop school of werk, relatieproblemen);
–Gebruikersnaam, wachtwoorden en andere inloggegevens (afhankelijk van waar deze toegang toe geven);
–Gegevens die gebruikt kunnen worden voor (identiteits-)fraude (BSN, biometrische gegevens).
In de tweede plaats geeft het CBP aan dat moet worden gekeken naar de aard en de omvang van het lek. Als het bijvoorbeeld gaat om grote hoeveelheden gegevens van verschillende betrokkenen of om veel gegevens van bepaalde betrokkenen, ligt melden voor de hand.
Tot slot geeft het CBP aan dat ook bij een datalek waarbij gegevens van “kwetsbare groepen” zijn gelekt, er een melding moet plaatsvinden. Hieronder vallen volgens het CBP onder meer ouderen en mensen in een blijf-van-mijn-lijf huis.
Hoewel er een aantal aanknopingspunten worden gegeven door het CBP, blijven verantwoordelijken voornamelijk op zichzelf aangewezen om te bepalen of er een melding moet plaatsvinden.
4.Melden aan de betrokkene
Naast het melden aan het CBP, kan er ook een verplichting bestaan om te melden aan de betrokkene wiens gegevens zijn gelekt. Die verplichting bestaat als het lek “waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer”.
De door het CBP gegeven toelichting biedt niet veel houvast om te bepalen wat onder “ongunstige gevolgen” moet worden verstaan. In plaats daarvan wordt veel aandacht besteedaan encryptie van gegevens. Indien de gegevens versleuteld zijn, is een melding aan de betrokkene niet vereist.
Van belang is dat de persoonsgegevens waren versleuteld op het moment van het datalek. Verder dient er sprake te zijn van een adequate versleuteling. Van een adequate versleuteling kan gesproken worden wanneer:
- Er versleuteld is met een standaardalgoritme, de sleutel niet is gelekt, de sleutel zodanig is gegenereerd dat onbevoegden deze niet hebben kunnen achterhalen met beschikbare technologische middelen; of
- De gegevens zijn vervangen door een hashwaarde die met een standaardalgoritme is berekend, de sleutel zodanig is gegenereerd dat onbevoegden deze niet hebben kunnen achterhalen met beschikbare technologische middelen.
Ookkan er onder omstandigheden geen meldplicht bestaan indien er een mogelijkheid bestaat de gegevens op afstand te wissen (remote wiping). De beslisboom va het CBP omtrent versleuteling ziet er als volgt uit:
Als er geen sprake is van encryptie zal bepaald moeten worden of er ongunstige gevolgen te vrezen zijn. Het CBP meldt daarover eerst het volgende: Het is aan u om te beoordelen of u een datalek aan de betrokkene moet melden”. Het CBP geeft daarna wel aan dat in ieder geval gemeld moet worden als er gevoelige gegevens zijn gelekt. Maar sluit daarna af met de opmerking: In alle overige gevallen zult u op basis van de omstandigheden van het geval een afweging moeten maken.” De Richtsnoeren bieden daarmee weinig houvast om te bepalen of aan de betrokkene moet worden gemeld.
Tot slot moet ook aan de betrokkene onverwijld worden gemeld. Anders dan bij de melding aan het CBP geldt voor de melding aan de Betrokkene geen termijn van twee werkdagen. Melding kan dus ook later plaatsvinden. Bovendien kan het CBP bepalen dat er alsnog moet worden gemeld aan de betrokkene. Ook als de verantwoordelijke dat in eerste instantie niet van plan was.
5.Na de melding
De verantwoordelijke moet een overzicht bijhouden van de datalekken die zijn voorgevallen. Deze dienen één jaar bewaard te worden.
Indien vanwege versleuteling niet aan een betrokkene is gemeld, dienen de gegevens omtrent het lek drie jaar bewaard te worden. Bovendien dient de verantwoordelijke minimaal eenmaal per jaar een her-evaluatie uit te voeren om te bepalen of niet alsnog moet worden gemeld. Dit kan het geval zijn als op een later moment kwetsbaarheden in de gebruikte versleuteling worden ontdekt. Verantwoordelijken zullen dit op een of andere manier in hun processen moeten inbouwen.
Hoe nu verder?
De Richtsnoeren bieden verantwoordelijken op bepaalde punten houvast over de wijze waarop het CBP de meldplicht zal uitleggen. Verantwoordelijken zullen echter grotendeels op zichzelf aangewezen zijn bij het maken van de beslissing of gemeld moet worden. Dit zou er toe kunnen leiden dat partijen elk lek gaan melden (better safe than sorry) om te voorkomen dat ze een boete krijgen.
Wat er verder ook uit de consultatie komt is dat verantwoordelijken in ieder geval binnen hun onderneming maatregelen zullen moeten nemen en processen zullen moeten inrichten om aan alle (praktische) voorwaarden uit de Richtsnoeren en de wet te kunnen voldoen.
Het is daarom van belang dat partijen een goed incident response protocol opstellen waarin duidelijk wordt beschreven wat er moet gebeuren als er een mogelijk datalek wordt geconstateerd. Op deze wijze kan een snellere en completere melding worden gedaan aan het CBP. Bovendien blijft de verantwoordelijke zo in control ten aanzien de (interne en externe) communicatie omtrent het lek, hetgeen voor de reputatie van belang is.
Het hebben van een gedegen incident response protocol is ook van belang in het kader van eventuele boetes. Het CBP kan boetes van EUR 810.000,– opleggen. In de Richtsnoeren wordt echter aangegeven dat het CBP bij de handhaving rekening houdt met de interpretatieruimte die de verantwoordelijke heeft bij het uitleggen van de meldplicht. Het CBP geeft aan alleen boetes op te leggen als die interpretatieruimte apert onredelijk is. Oftewel, als er een weloverwogen beleid omtrent datalekken wordt gevoerd, neemt de kans op een boete af.
De Richtsnoeren zijn hier te raadplegen.
