Meldplicht datalekken vanaf 1 januari 2016 in werking

Onlangs is bekend gemaakt dat de meldplicht datalekken en de uitbreiding van de boetebevoegdheid van het Cbp (College bescherming persoonsgegevens) per 1 januari 2016 in werking zullen treden. De wet was al door de eerste en de tweede kamer goedgekeurd, maar het wachten was nog op de bekendmaking wanneer de wijzigingen ook daadwerkelijk gaan gelden. Hiermee wordt  een aantal nieuwe privacy-beschermende maatregelen in de wet opgenomen.

De verplichting om persoonsgegevens te beschermen was al in de wet verankerd (Wet Bescherming Persoonsgegevens), maar in mindere mate was geregeld wat er dient te gebeuren op het moment dat een datalek zich voordoet. Van een datalek wordt gesproken als een organisatie die persoonsgegevens onder zich heeft onbedoeld de controle over deze gegevens verliest. Bovendien had het Cbp (met ingang van overigens 1 januari 2016 genaamd ‘Autoriteit Persoonsgegevens’), dat belast is met het handhaven van de verplichtingen uit de Wet Bescherming Persoonsgegevens, vrij beperkte middelen tot zijn beschikking om op te treden tegen overtredingen. Met de wetswijziging wordt getracht om op deze punten verbeteringen aan te brengen.

Organisaties die persoonsgegevens verwerken moeten op grond van de huidige wetgeving ‘passende technische en organisatorische maatregelen’ treffen om deze persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking. Vanaf 1 januari 2016 zijn deze organisaties verplicht om inbreuken op deze beveiliging  die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens (en dus datalekken), te melden. Vele voorbeelden zijn denkbaar: daarvan kan sprake zijn wanneer door een hack persoonsgegevens worden gelekt, maar ook bijvoorbeeld door het verlies van een laptop waarop persoonsgegevens staan.

In de wet wordt een dubbele meldplicht opgenomen: enerzijds bij de Autoriteit Persoonsgegevens en anderzijds bij de betrokkenen. Dient elk datalek gemeld te worden? Nee. De meldplicht bij de Autoriteit Persoonsgegevens ontstaat als er door het datalek een aanzienlijke kans bestaat op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens en de meldplicht aan de betrokkenen ontstaat indien het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van degene(n) waarop de persoonsgegevens zien.

Dat zijn op zich mooie formuleringen, maar feit is dat deze nogal wat ruimte laten voor verschillende interpretaties. Wat de één als ernstig nadelig beoordeelt, kan door de ander als minder ernstig nadelig worden ervaren. Er wordt dan ook uitgekeken naar de door het Cbp aangekondigde richtsnoeren. Deze richtsnoeren dienen ter ondersteuning om te bepalen of sprake is van ernstige nadelige gevolgen of ongunstige gevolgen voor de persoonlijke levenssfeer.

Overigens hoeft geen melding te worden gemaakt indien de persoonsgegevens zijn versleuteld of op andere wijze onbegrijpelijk zijn gemaakt.

Met de wetswijziging krijgt het Cbp een aanzienlijk ruimere bevoegdheid om tegen overtredingen van een reeks aan bepalingen uit de wet bescherming persoonsgegevens te kunnen optreden. Hieronder vallen ook de bepalingen die zien op het niet melden van een datalek. Het Cbp krijgt de mogelijkheid om in geval van overtreding van de meldplichten boetes op te leggen tot € 810.000,- of tot tien procent van de jaaromzet.

Ondernemingen die geregeld persoonsgegevens verwerken dienen dus alert te zijn op de meldplichten. Zij dienen voldoende voorbereid te zijn, zodat zij in ieder geval binnen de organisatie helder hebben wanneer gemeld moet worden. En dat is geen eenvoudige taak: de aangekondigde richtsnoeren van het Cbp zullen ongetwijfeld voor een deel duidelijkheid geven, maar de praktijk zal moeten uitwijzen hoe het Cbp en de rechter uiteindelijk de meldplichten daadwerkelijk zullen uitleggen.

Voor meer informatie kunt u contact opnemen met een van de leden van de praktijkgroep praktijkgroep IE-recht & ICT-recht.

Voor meer blogs van de praktijkgroep IE-recht & ICT-recht: klik hier

Deze blog is met veel aandacht en zorgvuldigheid geschreven, maar bevat informatie van  algemene informatieve aard. De informatie in de blog kan, afhankelijk van de omstandigheden van uw specifieke geval, niet of verminderd van toepassing zijn. De informatie in de blog dient derhalve niet als juridisch advies te worden beschouwd. Daniels Huisman aanvaardt dan ook geen enkele aansprakelijkheid voor de gevolgen van het gebruik van de informatie uit de blog.