Op 9 december jl. publiceerde het College bescherming persoonsgegevens (vanaf 1 januari: Autoriteit Persoonsgegevens) de Beleidsregels meldplicht datalekken. Deze geven invulling aan de Wet meldplicht datalekken en uitbreiding boetebevoegdheid die op 1 januari 2016 in werking zal treden. Over de conceptversie van deze Beleidsregels (de zogenaamde Richtsnoeren meldplicht datalekken) – die op 21 september ter consultatie werd gelegd – plaatsten wij reeds eerder een bericht​ op deze website.

Inhoud meldplicht

De meldplicht houdt de verplichting voor de verantwoordelijke in om de Autoriteit Persoonsgegevens onverwijld in kennis stellen van elke inbreuk op de beveiliging die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Ook dient de verantwoordelijke de betrokkenen onverwijld in kennis van te stellen van elke inbreuk die waarschijnlijk ongunstige gevolgen zal hebben voor de privacy van deze betrokkenen.

Beleidsregels

Melden binnen 72 uur

De gepubliceerde Beleidsregels verschillen op enkele punten van de consultatieversie. Het belangrijkste verschil is de concrete invulling van het tijdsbestek waarbinnen gemeld moet worden. In de Beleidsregels wordt deze gesteld op 72 uur, waarbij geen onderscheid meer gemaakt wordt tussen werkdagen en weekenden of feestdagen (in plaats van de periode van 2 werkdagen die werd genoemd concept richtsnoeren).

Boete

Overtreding van de meldplicht datalekken kan leiden tot een boete van € 820.000,-. In de beleidsregels wordt benadrukt dat indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, de Autoriteit Persoonsgegevens eerst een bindende aanwijzing zal opleggen voorafgaand aan een eventuele boete (zie tevens artikel 66 lid 4 Wbp).

Beveiligingslek is niet per definitie datalek

Verder wordt in de Beleidsregels het onderscheid tussen beveiligingsincident en een datalek benadrukt. Alleen indien bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of indien onrechtmatige verwerking redelijkerwijs niet uitgesloten kan worden, is sprake van een datalek. Een zwakke beveiliging levert op zichzelf dus nog geen datalek op.

Beveiligingsmaatregelen waardoor melding betrokkene achterwege kan blijven

Daarnaast heeft het College bescherming persoonsgegevens in haar Beleidsregels gekozen voor het uitwerken van cryptografie als technische beschermingsmaatregel waarmee de persoonsgegevens onbegrijpelijk of ontoegankelijk gemaakt kunnen worden voor ongeautoriseerde personen. Aandacht wordt met name besteed aan encryptie (versleuteling) en hashing (omzetten van gegevens in een unieke code). Toepassing van dergelijke maatregelen kan ervoor zorgen dat het datalek niet gemeld hoeft te worden aan de betrokkenen (artikel 34a lid 6 Wbp). Of de genomen maatregelen in een concreet geval afdoende zijn wordt mede bepaald door de stand der techniek.

Overzicht afweging datalek​

De Beleidsregels bevatten daarnaast een beslisboom voor het al dan niet melden van datalekken.

Click here to view the image.

Bron: Beleidsregels voor toepassing van artikel 34a van de Wbp, CBP

Het is raadzaam om bij elk beveilingslek dat zich voordoet deze stappen te doorlopen. Ook het vastleggen van deze stappen in beleid verdient aanbeveling.

Aan de slag

Aangezien het CBP haar Beleidsregels slechts drie weken voor de ingangsdatum van de Wet meldplicht datalekken publiceerde, heeft u uw beleid wellicht al ingericht op b​asis van de consultatieversie. Waar u in dat geval extra rekening mee dient te houden is de gewijzigde periode voor het melden van een datalek van twee werkdagen naar 72 uur.