Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.4.2.1
II.4.2.1 Meldplicht bij datalekken
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278823:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Duitsland kent een dergelijk meldplicht sinds 2009 (artikel 42a BDSG). Zie ook B. Custers (red.) 2017.
Zie ook B. Nieuwesteeg 2016.
Onder ‘verlies’ dient bovendien ook de tijdelijke niet-beschikbaarheid van persoonsgegevens te worden verstaan, zie Article 29 Working Party, ‘Guidelines on Personal data breach notification under Regulation 2016/679, 18/EN WP250rev01, p. 7.
Ibid. p. 22-23. Een dergelijke risico-inventarisatie wordt overigens ook in de HIPAA genoemd, maar wordt daarbij niet gekoppeld aan de vraag of de inbreuk dient te worden gemeld, maar of überhaupt van een inbreuk sprake is. Indien het bedrijf aan de hand van een risico-inventarisatie kan aantonen dat het onwaarschijnlijk is dat de gegevens in gevaar zijn (geweest), is van een inbreuk geen sprake – en dus ook niet van een meldplicht. Zie 45 CFR § 164.402(2).
De andere door de AVG voorgeschreven verplichtingen kunnen hierbij van belang zijn, bijvoorbeeld het verwerkingsregister (artikel 30 AVG) en het beveiligingsbeleid (artikel 30 lid 1 sub g AVG).
Florida resp. New Mexico, Ohio, Rhode Island, Tennessee, Vermont, Washington en Wisconson, resp. Delaware (vgl. ook HIPAA) resp. Connecticut.
K. Harris, ‘California data breach report 2012-2015’, California Department of Justice, februari 2016, p. 25 (te raadplegen via https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf).
Zie bijvoorbeeld de Breach Notification Law van Connecticut: S.B. 949, sec. 36a-701b(2)(b).
Dit blijkt ook uit de wetsgeschiedenis bij de Californische breach notification law: “to help consumers protect their financial security by requiring that state agencies and businesses […] to quickly disclose to consumers any breach of the security of the system, if the information disclosed could be used to commit identity theft.” (SB1386). Zie ook S. Romanosky, ‘Do data breach disclosure law reduce identity theft?’, Journal of policy analyses and management, 2011/30-2, p. 256-286.
Het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders.
Article 29 Working Party, ‘Guidelines on Personal data breach notification under Regulation 2016/679, 18/EN WP250rev01, p. 5.
De AVG bevat de verplichting om inbreuken in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit (artikel 33 AVG). Dergelijke meldplichten bestonden al in specifieke sectoren, bijvoorbeeld in de telecommunicatie.1 Een algemene meldplicht ontbrak. Slechts een aantal landen – waaronder Nederland sinds 2016 – kende al een algemene meldplicht voor inbreuken op persoonsgegevens.2
Met de introductie van deze meldplicht lijkt de Europese wetgever het Californische voorbeeld te hebben gevolgd.3 Nadere analyse van de inhoud van de meldplicht laat echter een aantal verschillen zien, bijvoorbeeld in de definities van begrippen, de drempel om te moeten melden, de termijn en de geadresseerde.
Anders dan de California Civil Code definieert de AVG het begrip ‘persoonsgegevens’ niet als een limitatieve lijst van gegevens. De term ‘persoonsgegevens’ beslaat alle informatie over een geïdentificeerde of (direct of indirect) identificeerbare natuurlijke persoon.4 Door de limitatieve opsomming is in de VS de beoordeling of sprake is van een persoonsgegeven eenvoudiger. De betekenis van het begrip ‘personal information’ is bovendien enger. In Europa zal de verwerkingsverantwoordelijke bij een inbreuk moeten onderzoeken of er informatie is vrijgekomen waarmee betrokkenen al dan niet indirect geïdentificeerd kunnen worden. In de VS kan de verantwoordelijke kort gezegd volstaan met het zetten van vinkjes.
Daarnaast is de definitie van het begrip ‘inbreuk’ onder de AVG breder dan onder de Amerikaanse (statenrechtelijke) regelgeving. Immers, volgens de wetgeving in California is slechts sprake van een inbreuk bij ‘acquisition by an unauthorized person’(zie paragraaf 3.4). Dat is een engere definitie dan in de AVG. Hierin wordt bijvoorbeeld het verlies of de wijziging van persoonsgegevens ook als ‘inbreuk’ wordt aangemerkt (artikel 4 sub 12 AVG).5 De brede definitie van ‘inbreuk’ in de AVG lijkt meer op het ruimere begrip dat in de VS ten aanzien van medische gegevens wordt gehanteerd in de (federale wet) HIPAA. De waarde die in de VS slechts aan dergelijke uiterst gevoelige gegevens wordt toegekend, wordt in Europa kennelijk aan alle soorten gegevens wordt toegekend.
Onder de AVG hoeft niet iedere inbreuk te worden gemeld. Die situatie is als een uitzondering op de hoofdregel omschreven: inbreuken moeten worden gemeld, tenzij niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden voor natuurlijke personen inhoudt. Deze omschrijving betekent dat de verwerkingsverantwoordelijke ter beoordeling van haar meldplicht een uitgebreide risico-inventarisatie moet uitvoeren.6 De wetgeving in de VS kent een dergelijke meldingsdrempel niet. Dit betekent dat iedere inbreuk moet worden gemeld. Een risico-inventarisatie hoeft daarbij niet te worden gemaakt. Dit maakt de beslissing om wel of niet te melden in de VS een stuk eenvoudiger dan in Europa. Enkel indien de gegevens adequaat zijn versleuteld en de sleutel niet is verkregen, hoeft in de VS niet te worden gemeld.7
Een meer praktisch verschil tussen de Amerikaanse meldplichten en de AVG is te zien in de meldingstermijn. De AVG bepaalt dat de melding moet plaatsvinden ‘zonder onredelijke vertraging’ en uiterlijk binnen 72 uur na kennisname van de inbreuk. Indien er aan de betrokkenen dient te worden gemeld, dan moet dit ‘onverwijld’ gebeuren.8 Onder de AVG zullen bedrijven worden gedwongen om al vooraf een incident response plan gereed te hebben; tijd om nog een uitgebreid plan te maken op het moment na kennisname van de inbreuk, is er niet. Organisaties zullen dus een helder beeld moeten hebben van hun verwerkingen en de getroffen beveiligingsmaatregelen.9 Dit is ook overigens met het oog op het accountability-beginsel (artikel 5 lid 2 en 24 AVG) verplicht.
De termijn in de Amerikaanse regelgeving verschilt; vrijwel alle staten hanteren uitgangspunten als ‘zo snel mogelijk’ en ‘zonder onredelijke vertraging’, maar de uiteindelijke deadlines variëren van dertig, vijfenveertig, zestig tot zelfs negentig dagen.10 De gemiddelde termijn waarbinnen wordt gemeld, is veertig dagen.11 De noodzaak om snel te melden is voor Amerikaanse organisaties dus niet zozeer gelegen in compliance, maar in beperking van de eigen reputatieschade en het voorkomen van claims.
Een ander groot verschil tussen de meldplichten in de VS en in Europa is de geadresseerde: waar in de VS de betrokkenen altijd moeten worden geïnformeerd en de overheid (de Attorney General) eerder niet dan wel, wordt in Europa de melding op de eerste plaats aan de overheid (de toezichthoudende autoriteit) gedaan en slechts onder omstandigheden aan de betrokkenen. Een ander verschil is gelegen in aanvullende verplichtingen, zoals het onder omstandigheden verplicht gratis aanbieden van schadebeperkende diensten.12 In de AVG zijn dergelijke verplichtingen niet opgenomen.
Een verklaring voor deze verschillen kan worden gezocht in het doel van de meldplicht. De Amerikaanse meldplichten lijken zich niet zozeer te richten op bescherming van fundamentele rechten, maar meer op de rechten van ‘de consument’: voorkoming van financiële schade en (identiteits)fraude.13 De Europese meldplicht beoogt ook dit soort schade voor natuurlijke personen te voorkomen,14 maar dit lijkt niet het enige doel te zijn. De Artikel 29-Werkgroep15 schrijft: “The focus of any breach response plan should be on protecting individuals and their personal data. Consequently, breach notification should be seen as a tool enhancing compliance in relation to the protection of personal data.”16 Hieruit kan worden afgeleid dat het doel van de meldplicht uiteindelijk de bescherming is van natuurlijke personen tegen de aantasting van een fundamenteel recht. De meldplicht waarborgt dus het overkoepelende doel van de AVG.