Op 1 januari 2016 treedt de “Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp” in werking. De wet introduceert een meldplicht voor datalekken in de Wet bescherming persoonsgegevens (Wbp). De introductie van deze meldplicht in de Wbp loopt daarmee vooruit op de Europese Algemene Verordening Gegevensbescherming waarin naar verwachting met ingang van 2018 een vergelijkbare verplichting zal worden opgenomen. Daarnaast zullen met ingang van 1 januari 2016 fors hogere boetes gelden voor overtreding van diverse bepalingen van de Wbp. Ook het aantal bepalingen uit de Wbp dat bestraft kan worden met een boete, neemt sterk toe.

Wat en wanneer melden?

De meldplicht hangt nauw samen met de verplichting van om voldoende organisatorische en technische beveiligingsmaatregelen te nemen. Op het moment dat een inbreuk op de vereiste beveiligingsmaatregelen wordt geconstateerd die potentieel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, dan moet de verantwoordelijke (degene die het doel en de middelen van een gegevensverwerking bepaalt) onverwijld het College bescherming persoonsgegevens (vanaf 1 januari 2016 “Autoriteit persoonsgegevens”: de Autoriteit) inlichten. Een dergelijke inbreuk kan allerlei vormen aannemen: het kan gaan om iemand die zich feitelijk toegang heeft verschaft tot een gebouw en mogelijk persoonsgegevens heeft ingezien of meegenomen, tot het meer aansprekende voorbeeld van een hacker. Maar ook het verlies van een telefoon, laptop of USB-stick kan een inbreuk op de beveiliging zijn.

Als die inbreuk op de beveiliging daarnaast ook nog waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene (degene wiens gegevens het betreft), zal ook deze betrokkene onverwijld moeten worden ingelicht. De afweging of daarvan sprake is, is in beginsel aan de verantwoordelijke zelf, maar als deze besluit dat melding aan de betrokkene niet nodig is, kan de Autoriteit de verantwoordelijke vervolgens alsnog verplichten om de betrokkenen in te lichten.

De verplichting om de betrokkene te informeren geldt niet indien de verantwoordelijke technische beveiligingsmaatregelen heeft genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Dus bijvoorbeeld in geval van verlies van een USB-stick die is beveiligd door encryptie, hoeft de verantwoordelijke de personen wiens gegevens op die USB-stick staan, daarvan niet op de hoogte te stellen. Daarnaast zijn financiële ondernemingen als bedoeld in de Wet op het financieel toezicht uitgezonderd van de meldingsplicht aan de betrokkene: financiële ondernemingen hoeven alleen een melding aan de Autoriteit te doen.

Wie?

De meldplicht geldt zowel voor organisaties in de private als in de publieke sector die als verantwoordelijke in de zin van de Wbp kwalificeren.

Hoe melden?

De melding aan de Autoriteit dient in ieder geval de volgende gegevens te bevatten:

  • Aard van de inbreuk;
  • Waar meer informatie over de inbreuk kan worden verkregen;
  • Aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  • Beschrijving van de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Voor de kennisgeving aan de betrokkene geldt dat deze op zodanige wijze moet worden gedaan, dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. De verantwoordelijke is daarnaast verplicht om een overzicht bij te houden van alle inbreuken.

Sancties

Waar de maximale bestuurlijke boete voor overtreding van de Wbp op dit moment nog EUR 4.500 bedraagt en het CBP maar zeer beperkt de mogelijkheid heeft een bestuurlijke boete op te leggen (alleen met betrekking tot de meldingsplicht), neemt deze bevoegdheid met ingang van 1 januari 2016 exponentieel toe. Vanaf dat moment zal de Autoriteit ook bevoegd zijn om een bestuurlijke boete op te leggen voor overtreding van een groot aantal bepalingen van de Wbp. Ook de hoogte van de boete is fors gestegen: zo kan niet naleving van de meldplicht datalekken resulteren in een boete van maar liefst EUR 810.000 of 10% van de jaaromzet van een onderneming per overtreding. Het is in de regel wel vereist dat de Autoriteit eerst een bindende aanwijzing geeft.

Wat betekent dit voor werkgevers?

Bij constatering van een inbreuk moet uw organisatie daarvan onverwijld mededeling doen. Aangezien onder “onverwijld” zo snel als redelijkerwijs mogelijk moet worden verstaan, is het op het moment dat er een datalek wordt geconstateerd, in ieder geval te laat om nog een draaiboek te maken. Vanaf 1 januari 2016 zal iedere organisatie dus een plan van aanpak moeten hebben klaarliggen voor het geval zich onverhoopt een inbreuk op de beveiliging voordoet.

Klik hier voor de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp.