Meldplicht datalekken

Meldplicht datalekken

Joris Hutter

id-a6910967-6f56-40a5-b2ee-62a815ad723c

Joris Hutter CIPM CISM is partner bij Privacy Management Partners

Vanaf 1 januari 2016 geldt de Meldplicht Datalekken. Ernstige datalekken moeten worden gemeld aan de Autoriteit Persoonsgegevens (AP) en aan de personen om wie het gaat. Daarnaast heeft de AP boetebevoegdheid gekregen. Het achterliggende doel van de meldplicht en de boetbevoegdheid is het afdwingen dat organisaties de zorgplicht op het gebruik van persoonsgegevens serieus nemen.

Wat is een datalek

Een datalek (‘databreach’) is een inbreuk op de beveiliging van persoonsgegevens. De meldplicht geldt ook voor persoonsgegevens op papier, voor zover die gegevens uit een bestand komen of bestemd zijn voor een bestand. Bij het beveiligingsincident wordt de vertrouwelijkheid, beschikbaarheid of integriteit van de persoonsgegevens geschonden. Dit kan vervelende gevolgen hebben voor de personen waarvan de gegevens worden verwerkt.

In de kern eist de Meldplicht datalekken:

Adequate beveiliging.

Melding aan de Autoriteit Persoonsgegevens (AP). Binnen 72 uur na het ontdekken van het datalek moet een (voorlopige) melding worden gedaan. Dit gaat via een digitaal meldingsloket op de website van de AP.

Melding en hulp aan personen waarvan de gegevens gelekt zijn. De melding is vormvrij maar moet onverwijld gebeuren.

Register van datalekken.

Afspraken tussen verantwoordelijke en bewerker.

De AP heeft richtlijnen opgesteld wanneer en hoe er gemeld moet worden. De drempelwaarde om verplicht naar de AP te melden is lager dan die naar benadeelde personen. Indien er zogenoemde Bijzondere persoonsgegevens of Gevoelige persoonsgegevens betrokken zijn in het datalek, moet in ieder geval gemeld worden naar de gedupeerde personen.

Documenten bij dit thema

“Een inbreuk op de beveiliging als bedoeld in artikel 13 WBP”.

Passende technische en organisatorische maatregelen; tegen verlies of enige vorm van onrechtmatige verwerking.

Artikel 4(12) AVG (2016)

Dit is duidelijker in wat een datalek is: “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Art. 34a Wbp: De verantwoordelijke

De verantwoordelijke is de (rechts)persoon die alleen of samen met anderen het doel en de middelen van de verwerking bepaalt, bij de AP en bij de betrokkene.

Art. 14 Wbp: De bewerker

De bewerker is de (rechts)persoon die in opdracht van de verantwoordelijke namens hem persoonsgegevens verwerkt, bij de verantwoordelijke en evt. bij de AP en de betrokkene indien voldoende helder afgesproken.

Art 14 Wbp: Bewerkersovereenkomst

Verantwoordelijke moet met bewerker afspraken maken over de bescherming van persoonsgegevens, o.a. over beschrijving van de verwerking (toegestane verwerkingen), beveiligingsmaatregelen, betrouwbaarheid personeel / geheimhoudingsplicht, melding datalekken, auditrechten, medewerkings- en inlichtingenplicht, inschakelen subbewerkers, internationaal gegevensverkeer, retour/vernietiging gegevens bij einde overeenkomst.

Art 16 Wbp: Bijzondere persoonsgegevens

Het gaat om bijzondere persoonsgegevens zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksueel leven, vakbondslidmaatschap.

Beleidsregel meldplicht datalekken

Gevoelige persoonsgegevens behoeven extra bescherming en moeten bij datalek over het algemeen gemeld worden. Het gaat om financiële of economische data, data mogelijk leidend tot stigmatisering of uitsluiting, reputatieschade, data mogelijk misbruikt voor ID-diefstal, gebruikersnamen, wachtwoorden, data uit DNA-databanken, data vallend onder wettelijke geheimhoudingsplicht, data vallend onder beroepsgeheim.

Documentatie van inbreuken in verband met persoonsgegevens, alleen de gemelde datalekken

art. 33 lid 5 AVG)

Documentatie van alle inbreuken in verband met persoonsgegevens, dus ook de niet gemelde datalekken

o

Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp), beleidsregels voor toepassing van artikel 34a van de Wbp. Autoriteit Persoonsgegevens, 2015.