Vanaf 1 januari 2016 geldt de Meldplicht Datalekken. Ernstige datalekken moeten worden gemeld aan de Autoriteit Persoonsgegevens (AP) en aan de personen om wie het gaat. Daarnaast heeft de AP boetebevoegdheid gekregen. Het achterliggende doel van de meldplicht en de boetbevoegdheid is het afdwingen dat organisaties de zorgplicht op het gebruik van persoonsgegevens serieus nemen.
Wat is een datalek
Een datalek (‘databreach’) is een inbreuk op de beveiliging van persoonsgegevens. De meldplicht geldt ook voor persoonsgegevens op papier, voor zover die gegevens uit een bestand komen of bestemd zijn voor een bestand. Bij het beveiligingsincident wordt de vertrouwelijkheid, beschikbaarheid of integriteit van de persoonsgegevens geschonden. Dit kan vervelende gevolgen hebben voor de personen waarvan de gegevens worden verwerkt.
In de kern eist de Meldplicht datalekken:
•
Adequate beveiliging.
•
Melding aan de Autoriteit Persoonsgegevens (AP). Binnen 72 uur na het ontdekken van het datalek moet een (voorlopige) melding worden gedaan. Dit gaat via een digitaal meldingsloket op de website van de AP.
•
Melding en hulp aan personen waarvan de gegevens gelekt zijn. De melding is vormvrij maar moet onverwijld gebeuren.
•
Register van datalekken.
•
Afspraken tussen verantwoordelijke en bewerker.
De AP heeft richtlijnen opgesteld wanneer en hoe er gemeld moet worden. De drempelwaarde om verplicht naar de AP te melden is lager dan die naar benadeelde personen. Indien er zogenoemde Bijzondere persoonsgegevens of Gevoelige persoonsgegevens betrokken zijn in het datalek, moet in ieder geval gemeld worden naar de gedupeerde personen.
Passende technische en organisatorische maatregelen; tegen verlies of enige vorm van onrechtmatige verwerking.
Artikel 4(12) AVG (2016)
Dit is duidelijker in wat een datalek is: “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
De verantwoordelijke is de (rechts)persoon die alleen of samen met anderen het doel en de middelen van de verwerking bepaalt, bij de AP en bij de betrokkene.
De bewerker is de (rechts)persoon die in opdracht van de verantwoordelijke namens hem persoonsgegevens verwerkt, bij de verantwoordelijke en evt. bij de AP en de betrokkene indien voldoende helder afgesproken.
Verantwoordelijke moet met bewerker afspraken maken over de bescherming van persoonsgegevens, o.a. over beschrijving van de verwerking (toegestane verwerkingen), beveiligingsmaatregelen, betrouwbaarheid personeel / geheimhoudingsplicht, melding datalekken, auditrechten, medewerkings- en inlichtingenplicht, inschakelen subbewerkers, internationaal gegevensverkeer, retour/vernietiging gegevens bij einde overeenkomst.
Het gaat om bijzondere persoonsgegevens zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksueel leven, vakbondslidmaatschap.
Beleidsregel meldplicht datalekken
Gevoelige persoonsgegevens behoeven extra bescherming en moeten bij datalek over het algemeen gemeld worden. Het gaat om financiële of economische data, data mogelijk leidend tot stigmatisering of uitsluiting, reputatieschade, data mogelijk misbruikt voor ID-diefstal, gebruikersnamen, wachtwoorden, data uit DNA-databanken, data vallend onder wettelijke geheimhoudingsplicht, data vallend onder beroepsgeheim.
Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp), beleidsregels voor toepassing van artikel 34a van de Wbp. Autoriteit Persoonsgegevens, 2015.
Joris Hutter
Joris Hutter CIPM CISM is partner bij Privacy Management Partners
Meer over Joris Hutter
Vanaf 1 januari 2016 geldt de Meldplicht Datalekken. Ernstige datalekken moeten worden gemeld aan de Autoriteit Persoonsgegevens (AP) en aan de personen om wie het gaat. Daarnaast heeft de AP boetebevoegdheid gekregen. Het achterliggende doel van de meldplicht en de boetbevoegdheid is het afdwingen dat organisaties de zorgplicht op het gebruik van persoonsgegevens serieus nemen.
Wat is een datalek
Een datalek (‘databreach’) is een inbreuk op de beveiliging van persoonsgegevens. De meldplicht geldt ook voor persoonsgegevens op papier, voor zover die gegevens uit een bestand komen of bestemd zijn voor een bestand. Bij het beveiligingsincident wordt de vertrouwelijkheid, beschikbaarheid of integriteit van de persoonsgegevens geschonden. Dit kan vervelende gevolgen hebben voor de personen waarvan de gegevens worden verwerkt.
In de kern eist de Meldplicht datalekken:
Adequate beveiliging.
Melding aan de Autoriteit Persoonsgegevens (AP). Binnen 72 uur na het ontdekken van het datalek moet een (voorlopige) melding worden gedaan. Dit gaat via een digitaal meldingsloket op de website van de AP.
Melding en hulp aan personen waarvan de gegevens gelekt zijn. De melding is vormvrij maar moet onverwijld gebeuren.
Register van datalekken.
Afspraken tussen verantwoordelijke en bewerker.
De AP heeft richtlijnen opgesteld wanneer en hoe er gemeld moet worden. De drempelwaarde om verplicht naar de AP te melden is lager dan die naar benadeelde personen. Indien er zogenoemde Bijzondere persoonsgegevens of Gevoelige persoonsgegevens betrokken zijn in het datalek, moet in ieder geval gemeld worden naar de gedupeerde personen.
Documenten bij dit thema
Wetgeving
Art. 34a WBP
“Een inbreuk op de beveiliging als bedoeld in artikel 13 WBP”.
Artikel 13 WBP
Passende technische en organisatorische maatregelen; tegen verlies of enige vorm van onrechtmatige verwerking.
Artikel 4(12) AVG (2016)
Dit is duidelijker in wat een datalek is: “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Art. 34a Wbp: De verantwoordelijke
De verantwoordelijke is de (rechts)persoon die alleen of samen met anderen het doel en de middelen van de verwerking bepaalt, bij de AP en bij de betrokkene.
Art. 14 Wbp: De bewerker
De bewerker is de (rechts)persoon die in opdracht van de verantwoordelijke namens hem persoonsgegevens verwerkt, bij de verantwoordelijke en evt. bij de AP en de betrokkene indien voldoende helder afgesproken.
Art 14 Wbp: Bewerkersovereenkomst
Verantwoordelijke moet met bewerker afspraken maken over de bescherming van persoonsgegevens, o.a. over beschrijving van de verwerking (toegestane verwerkingen), beveiligingsmaatregelen, betrouwbaarheid personeel / geheimhoudingsplicht, melding datalekken, auditrechten, medewerkings- en inlichtingenplicht, inschakelen subbewerkers, internationaal gegevensverkeer, retour/vernietiging gegevens bij einde overeenkomst.
Art 16 Wbp: Bijzondere persoonsgegevens
Het gaat om bijzondere persoonsgegevens zoals godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksueel leven, vakbondslidmaatschap.
Beleidsregel meldplicht datalekken
Gevoelige persoonsgegevens behoeven extra bescherming en moeten bij datalek over het algemeen gemeld worden. Het gaat om financiële of economische data, data mogelijk leidend tot stigmatisering of uitsluiting, reputatieschade, data mogelijk misbruikt voor ID-diefstal, gebruikersnamen, wachtwoorden, data uit DNA-databanken, data vallend onder wettelijke geheimhoudingsplicht, data vallend onder beroepsgeheim.
art. 34a lid 7a Wbp
Documentatie van inbreuken in verband met persoonsgegevens, alleen de gemelde datalekken
art. 33 lid 5 AVG)
Documentatie van alle inbreuken in verband met persoonsgegevens, dus ook de niet gemelde datalekken
Boetebeleidsregels Autoriteit Persoonsgegevens 2016
Boetebevoegdheid
Naslag
Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp), beleidsregels voor toepassing van artikel 34a van de Wbp. Autoriteit Persoonsgegevens, 2015.
Joris Hutter e.a., Grip op datalekken, handreiking op het beheersen van datalekrisico’s. Wolters Kluwer, 2015.