Meldplicht datalekken en hoge boetes vanaf 1 januari 2016

Geschreven door mr Corrie Ebbers, 17 december 2015

Op 9 december 2015 heeft het College bescherming persoonsgegevens (CBP, sinds 1 januari 2016 Autoriteit persoonsgegevens) de definitieve ‘Beleidsregels meldplicht datalekken’ gepubliceerd op de website

Niet ieder datalek hoeft gemeld te worden. Volgens de wet moet een melding gedaan worden aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet u denken aan:

  • Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp. Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
  • Gegevens over de financiële of economische situatie van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens.
  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.
  • Gebruikersnamen, wachtwoorden en andere inloggegevens. De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.
  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude. Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).

Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. Maar let op: als de aard van de gelekte gegevens daar aanleiding toe geeft is het mogelijk dat een datalek ook gemeld moet worden als slechts de persoonsgegevens van e?e?n persoon daarbij betrokken zijn.

De melding moet zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek plaats vinden. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier

Hoge boetes

Vanaf 1 januari 2016 krijgt de Autoriteit persoonsgegevens ook de bevoegdheid om zeer hoge boetes op te leggen als de regels van de Wet bescherming persoonsgegevens worden overtreden. De boete voor het ten onrechte niet melden van een datalek is bijvoorbeeld maximaal is € 820.000,-. Meer informatie op de website

Om voorbereid te zijn op deze nieuwe regels is het noodzakelijk om een risico-analyse uit te voeren en bestaande contracten met bewerkers te actualiseren. Dit laatste is met name van belang als een gemeente gegevensverwerkingen heeft uitbesteed (outsourcing) of samenwerkingsverbanden is aangegaan waarbij de verwerking van persoonsgegevens feitelijk door een andere gemeente of een derde partij wordt uitgevoerd. Het is belangrijk om af te spreken welke functionaris bevoegd is om de melding bij de toezichthouder te doen.

Bron: www.autoriteitpersoonsgegevens.nl

Gerelateerd artikel:  B&R 2015 nr. 4 blz. 26 ‘Meldplicht datalekken en hoge boetes’, mr Corrie Ebbers

Nieuwsoverzicht