13 juni 2016

Help: een meldplicht datalekken!

image for Help: een meldplicht datalekken! image

Sinds 1 januari 2016 geldt de meldplicht datalekken. De vraag is niet zozeer óf u ermee te maken krijgt, als wel wannéér dat het geval is. Deze meldplicht houdt namelijk in dat organisaties, instellingen en bedrijven die persoonsgegevens verwerken een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) direct nadat zij een datalek hebben ontdekt.

Sinds 1 januari 2016 geldt de meldplicht datalekken. De vraag is niet zozeer óf u ermee te maken krijgt, als wel wannéér dat het geval is. Deze meldplicht houdt namelijk in dat organisaties, instellingen en bedrijven die persoonsgegevens verwerken een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) direct nadat zij een datalek hebben ontdekt.

In bepaalde gevallen moet de datalek ook aan betrokkenen worden gemeld. Een betrokkene is degene van wie de persoonsgegevens zijn gelekt. De meldplicht is opgenomen in de Wet Bescherming Persoonsgegevens (Wbp). Voorbeelden van datalekken zijn: uitlekken van medische gegevens naar het internet, klantgegevens van twitteraars uitgelekt via een app, een gestolen laptop met persoonsgegevens, een zoekgeraakte usb-stick of een inbraak in een databestand.

Sinds 1 januari jl. zijn er circa 1000 meldingen bij de Autoriteit Persoonsgegevens gedaan (stand van zaken: april 2016).

Wat is een datalek?
Wanneer is er sprake van een datalek? Een datalek is een inbreuk op de beveiliging van persoonsgegevens waarbij persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. In feite zijn deze dan blootgesteld aan datgene waartegen beveiligingsmaatregelen nu juist bescherming hadden moeten bieden. Een datalek is meestal het gevolg van een beveiligingsprobleem. Overigens moet een datalek niet worden verward met een beveiligingslek. Dit is namelijk een inbreuk op de beveiliging, waarbij persoonsgegevens niet worden blootgesteld aan verlies of onrechtmatige verwerking. In dat geval is er dus ook geen sprake van een datalek.
Elk bedrijf verwerkt data en dus ook persoonsgegevens, zowel van klanten als medewerkers. Door het toenemende risico dat er data worden ‘gelekt’, bijvoorbeeld door een menselijke fout, ontoereikende beveiliging, fraude binnen de eigen organisatie en/of een bewuste criminele aanval van buitenaf, kunnen data in verkeerde handen vallen of verloren gaan.

Welke implicaties heeft dit voor bedrijven, organisaties en instellingen? Wanneer moet een datalek worden gemeld bij de Autoriteit Persoonsgegevens? Wat moet er exact worden gemeld? Welke preventieve maatregelen kunnen er worden getroffen? Welke afspraken kunnen en moeten er met bewerkers worden gemaakt? Op wie rust de meldplicht en wat als er niet – of niet tijdig – wordt gemeld?

Voor wie geldt de meldplicht datalekken?
De meldplicht geldt voor degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze wordt in de Wet bescherming persoonsgegevens (hierna: Wbp) aangeduid als de verantwoordelijke. Denk bijvoorbeeld aan de volgende situatie: een bedrijf houdt een klantenbestand van haar klanten bij in haar computersysteem. Deze gegevens zijn door NAW-gegevens te herleiden tot een individuele natuurlijke persoon, de betrokkene, dat wil zeggen degene op wie de persoonsgegevens betrekking hebben. Het bedrijf dat de persoonsgegevens bijhoudt, is in dit voorbeeld de verantwoordelijke. Onder persoonsgegevens vallen alle gegevens die herleidbaar zijn tot een geidentificeerde of identificeerbare natuurlijke persoon (bijv. naam, e-mailadres, foto, medische gegevens, maar soms óók een IP-adres).

Onder het begrip ‘verwerking’ valt elke handeling die betrekking heeft op persoonsgegevens, van het moment van verzameling tot vernietiging. Daaronder valt ook het opslaan van gegevens door een derde. Deze derde ‘verwerkt’ de gegevens in opdracht van de verantwoordelijke en wordt aangeduid als ‘bewerker’. De verplichtingen van de bewerker moeten nauwgezet worden vastgelegd in een bewerkers overeenkomst. Het afsluiten van een bewerkersovereenkomst is een wettelijk vereiste dat volgt uit artikel 14 Wbp. De AP eist bovendien dat het contract tot in detail vermeldt welke instructies de verantwoordelijke aan de bewerker oplegt, welke beveiliging de bewerker zal toepassen, welke persoonsgegevens verwerkt zullen worden en voor welke doeleinden.

Beveiligingsverplichting Wbp
Op grond van artikel 13 Wbp is de verantwoordelijke verplicht om passende technische en organisatorische maatregelen ten uitvoer te (laten) leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. De maatregelen moeten bovendien een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging en gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De AP geeft in Richtsnoeren Beveiliging van Persoonsgegevens aan wanneer er sprake is van een blijvend, passend beveiligingsniveau. Kijk op de website van de AP voor meer informatie: www.autoriteitpersoonsgegevens.nl.

Meldplicht
De meldplicht houdt in dat de verantwoordelijke een datalek moet melden bij de Autoriteit Persoonsgegevens. Altijd? Nee, alleen indien er kans is op verlies van gegevens of onrechtmatige verwerking van gegevens. Daarnaast moet degene die het betreft – de betrokkene – geïnformeerd worden. Het niet naleven van de meldplicht kan bestraft worden met een forse boete van de AP.
De betrokkene moet geïnformeerd worden indien er sprake is van “een inbreuk als bedoeld in eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.” Indien de data echter effectief en up-to-date versleuteld zijn, heeft de verantwoordelijke geen meldplicht richting de betrokkene.

Inhoud van de melding
De melding aan het AP moet in elk geval de volgende informatie omvatten:

  1. aard van de inbreuk;
  2. instanties waar meer informatie over de inbreuk kan worden verkregen; 
  3. aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken (bijvoorbeeld: het veranderen van gebruikersnamen en wachtwoorden); 
  4. een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; 
  5. maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen. 

Het risico op een boete
De Autoriteit Persoonsgegevens kan boetes tot 820.000 euro of tien procent van de jaaromzet opleggen voor overtreding van diverse bepalingen van de Wet bescherming persoonsgegevens. De AP kan bijvoorbeeld een boete opleggen indien uw organisatie:

  • persoonsgegevens verwerkt zonder hiervoor te beschikken over een vooraf vastgesteld gerechtvaardigd doeleinde en een grondslag (bijvoorbeeld de toestemming van de betrokkene); 
  • persoonsgegevens langer bewaart dan noodzakelijk is voor het doeleinde; 
  • onvoldoende beveiligingsmaatregelen neemt ter bescherming van persoonsgegevens tegen verlies of onrechtmatige verwerking; 
  • het verbod op verwerking van gevoelige persoonsgegevens – zoals ras, gezondheid of BSN – overtreedt, zonder een beroep te kunnen doen op een uitzonderingsgrond;
  • een datalek niet meldt of geen overzicht bijhoudt van alle inbreuken op de beveiliging van persoonsgegevens. 

In principe zal de AP bij constatering van een overtreding eerst een bindende aanwijzing aan de overtreder geven. Dit geldt tenzij de overtreding opzettelijk is gemaakt of wanneer er sprake is van ernstig verwijtbare nalatigheid van de overtreder. De boete kan in dat geval direct worden opgelegd.

Logboek datalekken
Iedere organisatie dient verplicht een overzicht (logboek) bij te houden van datalekken die dusdanig ernstig waren dat ze aan de AP gemeld zouden moeten worden. Dit overzicht moet in ieder geval feiten en gegevens omtrent de aard van de inbreuk alsmede de tekst van de kennisgeving aan de betrokkene vermelden.

Wat moeten bedrijven en instellingen doen?

  • Er is de noodzaak tot het afsluiten c.q. het aanpassen van bewerkersovereenkomsten. Verwerkt een externe partij persoonsgegevens voor u? Dan bent u verplicht een bewerkersovereenkomst te sluiten. Zet hierin dat hij de gegevens alleen in opdracht van u mag verwerken, en volgens uw instructies. Vermeld ook dat hij de boel goed moet beveiligen en een datalek aan u móet melden. 
  • Richt processen binnen uw organisatie in naar de regels op het gebied van privacy. 
  • Maak een datalekprotocol! Bedenk daarbij vooraf mogelijke scenario’s bij datalekken en wat u in voorkomende gevallen kunt doen om mogelijke schade te beperken. Vermeld daarbij ook de punten die u moet doorgeven aan de AP, zoals hiervoor opgesomd onder het kopje ‘inhoud van de melding’.
  • Houd een logboek bij met een overzicht van de inbreuken. 
  • Zorg dat uw beveiliging op orde is, zowel technisch als ook organisatorisch. 
  • Versleutel gegevens indien dit tot de mogelijkheden behoort. 

Conclusie
Datalekken zijn haast niet uit te sluiten dan wel te voorkomen, het treffen van adequate beveiligingsmaatregelen ten spijt. Organisaties kunnen echter veel ondervangen met goede contracten en het creëren van bewustzijn bij werknemers. Daarmee kan de schade, die ontstaat als gevolg van het datalek, zo veel mogelijk worden beperkt en tonen organisaties hun goede wil, wat bij een aansprakelijkheids s telling en/of boete mee kan wegen. Duidelijk moge zijn dat aspecten rondom beveiliging, data lekken en privacy vóóraf in een overeenkomst geregeld moeten worden. Het risico bij achterover leunen en niets doen is dat u als verantwoordelijke aansprakelijk kunt zijn voor alle schade die voortvloeit uit een datalek. Daarnaast kunt u een boete van de AP opgelegd krijgen. Om nog maar te zwijgen van de reputatieschade en mogelijke claims van betrokkenen.