Introductie

Onder de AVGB speelt beveiliging een prominente rol en de AVGB introduceert vergaande verplichtingen voor verantwoordelijken en verwerkers ten aanzien van beveiliging. Eén van deze verplichtingen is de meldplicht datalekken. In Nederland geldt al een vergelijkbare meldplicht op grond van de Wet bescherming persoonsgegevens (Wbp). Voor diverse andere EU-lidstaten introduceert de AVGB een geheel nieuwe meldplicht datalekken.

De meldplicht op grond van de AVGB verschilt op diverse punten van de meldplicht datalekken op grond van de Wbp. In deze negende AVGB-update behandelen wij de meldplicht datalekken op grond van de AVGB en de verschillen met de meldplicht datalekken op grond van de Wbp.

Wat zijn datalekken?

De AVGB geeft een ruime definitie van een datalek: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Deze definitie is niet beperkt tot een inbreuk in een databestand door een hacker. Hieronder vallen ook kwijtgeraakte of gestolen telefoons, laptops en USB-sticks, malware-infecties en kwijtgeraakte data (bijvoorbeeld indien data is verwijderd en geen actuele back-up beschikbaar is).

Melden aan de toezichthoudende autoriteit

Datalekken, indien niet tijdig en op passende wijze aangepakt, kunnen leiden tot schade voor de betrokkenen, waaronder discriminatie, identiteitsdiefstal, fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, et cetera.

Om die reden is de verantwoordelijke verplicht een datalek zonder onredelijke vertraging en, indien mogelijk, uiterlijk binnen 72 uur na ontdekking te melden aan de bevoegde toezichthoudende autoriteit. Dit stelt de toezichthoudende autoriteit in staat het datalek te beoordelen en te bepalen of nadere acties zijn vereist.

Melden is niet noodzakelijk indien het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit criteria wijkt enigszins af van het criteria onder de Wbp. Op grond van de Wbp moet een datalek gemeld worden indien het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Aldus lijkt op grond van de AVGB eerder sprake te zijn van een meldingsplicht.

Op grond van de AVGB dient de melding ten minste de volgende informatie te bevatten:

  1. de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en registers in kwestie en het aantal betrokkenen en registers in kwestie;
  2. de naam en de contactgegevens van de functionaris voor de gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
  3. de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; en
  4. de maatregelen die de verantwoordelijke heeft voorgesteld of heeft genomen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Indien de melding niet binnen 72 uur kan plaatsvinden, dient de verantwoordelijke de vertraging te onderbouwen. In de praktijk doen verantwoordelijken er goed aan de 72-uurstermijn te hanteren en interne procedures te implementeren die hen in staat stellen om de melding binnen deze termijn te kunnen verrichten.

Melden aan de betrokkenen

In aanvulling op de melding aan de toezichthoudende autoriteit is de verantwoordelijke verplicht om de betrokkenen de inbreuk onverwijld mee te delen, tenzij:

  1. het onwaarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen (gelet op de aard van het datalek of omdat de verantwoordelijke achteraf passende maatregelen heeft genomen);
  2. de verantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft genomen en deze maatregelen heeft toegepast op de persoonsgegevens waarop het datalek betrekking heeft; of
  3. de mededeling onevenredige inspanningen vergt. In plaats daarvan komt er een openbare melding of soortgelijke oplossing waarbij de betrokkenen alsnog doeltreffend worden geïnformeerd. Dit zal gaan om uitzonderingsgevallen. Indien de betrokkenen per e-mail kunnen worden benaderd, zal er niet snel sprake zijn van een situatie waarin de mededeling onevenredige inspanningen vergt.

Deze criteria wijken eveneens enigszins af van de criteria op grond van de Wbp. Op grond van de Wbp dient het datalek te worden gemeld indien het waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, tenzij passende maatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegde personen. Daarmee lijkt de norm voor meldingen aan de betrokkenen onder de AVGB minder streng dan nu voor Nederland geldt op grond van de Wbp.

De melding aan de betrokkenen moet in duidelijke en eenvoudige taal een omschrijving van de aard van het datalek bevatten en verder ten minste dezelfde informatie die aan de toezichthoudende autoriteit is verstrekt (zie hierboven).

Indien de verantwoordelijke het datalek (nog) niet heeft gemeld aan de betrokkenen, kan de toezichthoudende autoriteit de verantwoordelijke daartoe verplichten. Het niet naleven van een dergelijke instructie kan resulteren in aanzienlijke boetes (zie hieronder).

Intern register van datalekken

De verantwoordelijke is verplicht om alle datalekken, inclusief de relevante feiten, de gevolgen en de getroffen maatregelen te documenteren.

Verplichtingen voor verwerkers

Op grond van de AVGB zijn verwerkers verplicht, nadat zij kennis hebben genomen van een datalek, zonder onredelijke vertraging de verantwoordelijke te informeren over het datalek. Dit stelt de verantwoordelijke in staat tijdig de noodzakelijke handelingen te verrichten. Organisaties doen er goed aan om duidelijke afspraken te maken ten aanzien van hoe en wanneer de verwerker datalekken aan de verantwoordelijke meldt. Het is verstandig om in de verwerkersovereenkomst op te nemen dat het beter is om een incident te melden dat achteraf geen datalek blijkt te zijn, dan niet te melden terwijl dit achteraf wel een datalek blijkt te zijn.

Boetes

Het niet voldoen aan de bovenvermelde verplichtingen kan resulteren in boetes van € 10.000.000 of 2% van de totale wereldwijde jaaromzet, indien dit cijfer hoger is. Niet-naleving van een bevel van de toezichthoudende autoriteit kan resulteren in boetes van € 20.000.000 of 4% van de totale wereldwijde jaaromzet, indien dit cijfer hoger is.

Praktische aanbevelingen en conclusie

Gelet op de beperkte tijd waarbinnen de toezichthoudende autoriteit en de betrokkenen moeten worden geïnformeerd, doen organisaties er goed aan om een intern plan op te stellen waarin de acties uiteen worden gezet die in het geval van een datalek moeten worden genomen, waaronder belangrijke contactpersonen (intern en extern), checklists en vervolgmaatregelen. Wereldwijde organisaties kunnen daarnaast overwegen om regionale/lokale response teams op te zeten (waaronder bijvoorbeeld experts op het gebied van forensische IT, juristen en PR adviseurs).

Overzicht van te behandelen onderwerpen

Januari 2017 Territoriale reikwijdte van de AVGB
Februari 2017 Het concept van toestemming
Maart 2017 Bijzondere persoonsgegevens
April 2017 'Accountability', 'Privacy by Design' en 'Privacy by Default'
Mei 2017 Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage,rectificatie en overdraagbaarheid)
Juli 2017 Rechten van betrokkenen (bezwaar, verwijdering en beperking van verwerking
Augustus 2017 Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Gegevensbeschermingseffectbeoordeling en de Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 One Stop Shop
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profiliering en Retail
Mei 2018 Overzicht