Sinds 2016 zijn de nieuwe privacyregels van kracht. Voor wie is de nieuwe Wet Meldplicht Datalekken van belang? Moet ik al mijn datalekken aan mijn klanten gaan melden? Advocaat Jeroen Sprangers legt uit.
Privacywetgeving
Door de nieuwe bevoegdheden van de privacytoezichthouder en de nieuwe meldplicht datalekken wordt het steeds belangrijker om als organisatie te voldoen aan de privacywetgeving. Hoe gaat jouw organisatie met privacy om? Zijn er al afspraken gemaakt over de nieuwe meldplicht datalekken? REIN kan helpen om het juridische gedeelte inzichtelijk te krijgen. In het bijzonder gaat het dan om het nalopen en controleren van de afspraken die tussen alle betrokken partijen zijn gemaakt.
Datalek
Bij een datalek dient de organisatie die verantwoordelijk is voor het verwerken van persoonsgegevens dit te melden aan de toezichthouder. Niet naleven kan zelfs leiden tot bestuurdersaansprakelijkheid. De aard van de gegevens is hierbij erg belangrijk. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Het lek moet vervolgens ook aan de betrokkenen worden gemeld indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer, tenzij er passende technische beschermingsmaatregelen zijn getroffen.
Wet bescherming persoonsgegevens
Afgelopen oktober 2015 presenteerde het College Bescherming Persoonsgegevens (CBP)de consultatie versie van de nieuwe boetebeleidsregels (PDF). Waar het CBP bekend staat als een toezichthouder zonder tanden, gaat dit met de nieuwe wetgeving veranderen. Het college wordt omgedoopt tot Autoriteit Persoonsgegevens (AP). Naast de naamswijziging krijgt de AP uitgebreide bevoegdheden om hoge boetes op te leggen (tot €820.000,-). Deze hoge boetes kan het AP alleen opleggen nadat het een bindende aanwijzing heeft gegeven, tenzij er sprake is van opzet of ernstig verwijtbare nalatigheid. Het is belangrijk om te realiseren dat deze boetebevoegdheden verder gaan dan het niet melden van datalekken, maar zien op alle hoofdverplichtingen van de verantwoordelijke uit de Wet bescherming persoonsgegevens (Wbp).
Boetebevoegdheden privacytoezichthouder
Dat de boetebevoegdheden van onze nationale privacytoezichthouder worden uitgebreid is geen verrassing. De laatste jaren is het belang van het verzamelen en gebruiken van persoonlijke gegevens enorm toegenomen. Ook het bewustzijn en de behoefte naar controle over eigen persoonsgegevens zijn gegroeid. Daarnaast passen de nieuwe boetebevoegdheden in de lijn van de nieuwe Europese privacyverordening, die in de komende jaren onze eigen wetgeving zal vervangen.
Wet Meldplicht Datalekken
Afgelopen maand werden ook de algemene beleidsregels van het CBP voor de nieuwe Wet Meldplicht Datalekken gepubliceerd (PDF). Deze beleidsregels helpen organisaties bij het bepalen of er sprake is van een datalek, en wat organisaties vervolgens moeten doen. De Wet Meldplicht Datalekken houdt in dat organisaties (zowel bedrijven als overheden) binnen 72 uur een melding moeten doen bij de toezichthouder zodra zij een ernstig datalek hebben. In een aantal gevallen moet het datalek ook gemeld worden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt, bijvoorbeeld klanten). Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Ook onrechtmatige inzage kan onder de wet een datalek zijn. Het is hierbij niet noodzakelijk dat het om persoonsgegevens van meerdere personen gaat. Als de aard van de gelekte gegevens daartoe aanleiding geeft is het mogelijk dat een lek gemeld moet worden waarbij slechts
één persoon betrokken is. Door het CBP worden voorbeelden genoemd van een kwijtgeraakte USB-stick, een inbraak in een databestand door een hacker, een malware besmetting of een brand in een datacentrum. Het gaat er kortom om of de persoonsgegevens mogelijk zijn blootgesteld aan onrechtmatige inzage of verlies.
Verantwoordelijkheid gegevensverwerking
In de praktijk hebben veel organisaties de IT-dienstverlening uitbesteed. Dit betekent echter niet dat de organisatie wettelijk gezien niet langer verantwoordelijk is voor de gegevensverwerking. Het is dan ook voor beide partijen erg belangrijk om heldere afspraken te maken met betrekking tot het melden van datalekken. Denk hierbij zowel aan juridische, technische als organisatorische afspraken: wie doet wat wanneer en wie is waar verantwoordelijk voor?
REIN kan je helpen bij het voldoen aan de wet- en regelgeving. Door middel van een scan (1-2 dagdelen) zullen wij samen met u uw organisatie in staat stellen te voldoen aan de wettelijke vereisten.
Heb je vragen over bovenstaand? Neem gerust contact op met Jeroen Sprangers.
Jeroen Sprangers
Advocaat & curator