Meldplicht datalekken per 1 januari 2016: is uw organisatie voorbereid?

donderdag, 1 oktober 2015

Vanaf 1 januari 2016 bestaat de verplichting om ernstige inbreuken op de beveiliging van persoonsgegevens te melden aan het College Bescherming Persoonsgegevens (CBP) en eventueel ook aan de personen op wie de persoonsgegevens betrekking hebben. ‘Inbreuk op de beveiliging’ is een ruim begrip. Het kan bijvoorbeeld gaan om een hack van een klantenbestand, het verlies van een USB stick met personeelsgegevens, het in de trein laten liggen van een medisch dossier of per het ongeluk versturen van een e-mail met adresgegevens naar een verkeerd geadresseerde. Om te kunnen voldoen aan de meldplicht datalekken is voorbereiding noodzakelijk. De bestaande beveiliging van persoonsgegevens binnen de organisatie verdient daarbij extra aandacht. Tevens zal moeten worden nagedacht over het inregelen van de signalering en registratie van datalekken, het aanwijzen van personen die bepalen of gemeld moet worden, de wijze van melden, afspraken met IT dienstverleners en andere bewerkers en het beperken van reputatieschade. In deze blog wordt de komende wettelijke verplichting toegelicht.  

Melding aan het CBP

Op 1 januari 2016 treedt het nieuwe artikel 34a Wet bescherming persoonsgegevens (Wbp) in werking. Het eerst lid van dit artikel betreft de melding aan het CBP en luidt:

Lid 1.     De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

In artikel 13 Wbp is bepaald dat bij de verwerking van persoonsgegevens passende technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De meldplicht datalekken aan het CBP brengt daarnaast mee (1) dat beveiligingsincidenten gedetecteerd zullen moeten worden, (2) dat bepaald moet worden welke van deze incidenten gemeld moeten worden en (3) dat de meldingsplichtige incidenten geregistreerd zullen moeten worden.

Om te bepalen of een incident gemeld moet worden aan het CBP zal de vraag moeten worden beantwoord of het beveiligingsincident leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Die nadelige gevolgen kunnen zich dan vooral voordoen in de vorm van verlies of onrechtmatige verwerking. In de Memorie van Toelichting bij de wetswijziging (MvT) wordt aangegeven dat de aanmerkelijke kans dat persoonsgegevens zijn blootgesteld aan nadelige gevolgen in de vorm van verlies of onrechtmatige verwerking redelijkerwijs aanwezig moet zijn. Of dat zo is moet op grond van de feitelijke omstandigheden van het geval worden vastgesteld. De aard van het incident (verlies en/of onrechtmatige verwerking), de soort gegevens (bijv. onschuldige adresgegevens tegenover betaalgegevens of medische gegevens), het risico voor de betrokkenen en de omvang van de inbreuk spelen daarbij een rol.

In de  MvT wordt als voorbeeld genoemd dat het zoekraken of hacken van de ledenadministratie van een sportvereniging niet snel aanleiding zal geven tot een melding bij het CBP, maar een datalek bij de Belastingdienst, een commerciële bank of verzekeraar wel. Dit kan namelijk leiden tot financieel nadeel bij de betrokkenen of tot het compromitteren van gegevens die beschermd worden door een geheimhoudingsplicht.

Informeren van betrokkenen

Het tweede lid van het nieuwe artikel 34a Wbp ziet op het informeren van de personen op wie de verwerkte persoonsgegevens betrekking hebben en luidt:

Lid 2.     De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Nadat is vastgesteld dat een beveiligingsincident gemeld moet worden aan het CBP zal de vraag moeten worden beantwoord of de betrokkenen geïnformeerd moeten worden. Daarvoor zal de kans moeten worden ingeschat dat de gevolgen van het incident ongunstig zullen zijn voor de persoonlijke levenssfeer van de getroffen personen. De aard van de getroffen gegevens zijn daarbij van groot belang. Verlies of onrechtmatige verwerking van persoonsgegevens van gevoelige aard, zoals medische gegevens, credit card gegevens, burgerservicenummers of gegevens van kinderen brengen waarschijnlijk ongunstige gevolgen mee voor betrokkenen. De kennisgeving aan de betrokkene wordt overigens ook beschouwd als een uiting van de algemene verplichting tot schadebeperking. De verantwoordelijke kan met goede informatie aan betrokkenen de schade beperken. Mocht een betrokkene zich niet houden aan de voorgestelde maatregelen dan zou het zelfs zo kunnen zijn dat de schade door het niet opvolgen van de maatregelen niet voor rekening van de verantwoordelijke komt.

De wet geeft een uitzondering op het informeren van betrokkene als de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn gemaakt, bijvoorbeeld omdat de gegevens zijn versleuteld of op afstand gewist kunnen worden (denk aan een verloren smartphone).

Ook indien de afweging wordt gemaakt om de betrokkenen niet te informeren, zou het CBP toch kunnen verlangen dat dit alsnog gebeurd.

Inhoud van de melding

De minimale inhoud van de melding aan het CBP en informatie aan betrokkenen wordt omschreven in lid 3 en lid 4 van het nieuwe artikel 34a Wbp:

Lid 3.     De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Lid 4.     De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Voor de melding aan het CBP zal een formulier op de website van het CBP worden geplaatst. Daarin zal naast de contactgegevens van de verantwoordelijke, informatie worden gevraagd over het beveiligingsincident, zoals de hoeveelheid getroffen persoonsgegevens, de soort persoonsgegevens, de aard van de inbreuk en de vervolgacties.

Richtsnoeren meldplicht datalekken

Het CBP heeft op 21 september 2015 concept richtsnoeren meldplicht datalekken gepubliceerd op zijn website. Deze richtsnoeren zijn bedoeld om handvatten te geven voor het bepalen of een datalek gemeld moet worden en of de betrokkenen geïnformeerd moeten worden. Tevens staat in bijlage het datalekformulier. Belanghebbenden kunnen gedurende vier weken reageren op de conceptversie van de richtsnoeren. Daarna zal de definitieve versie worden gepubliceerd, waarover we u uiteraard zullen informeren.

Voorkom (reputatie)schade

Een kop in de krant of een item bij een nieuwsprogramma over het lekken van persoonsgegevens bij uw organisatie leidt tot aanzienlijke reputatieschade. Maar ook een datalek zelf kan tot grote schade leiden die vaak niet is verzekerd. Denk aan omzetderving door verlies aan klanten, verlies aan Intellectuele eigendom, kosten voor herstel van systemen en voor het mitigeren van de gevolgen, schadevergoedingsclaims van getroffenen etc. Bovendien kan het CBP bij overtreding van de meldplicht datalekken een boete opleggen van maximaal € 810.000,- of in bijzondere gevallen zelfs 10% van de jaaromzet van de onderneming. Het is daarom belangrijk om de beveiliging van persoonsgegevens binnen uw organisatie serieus onder de loep te nemen. Daar komt bij dat de melding en de informatie aan betrokkenen ‘onverwijld’ dient te gebeuren. Een goede voorbereiding  is daarvoor noodzakelijk. Zie voor aandachtspunten bij de voorbereiding van de meldplicht datalekken deze blog.