De meldplicht datalekken in vraag en antwoord

Per 1 januari 2016 treedt de meldplicht voor datalekken in werking als onderdeel van de Wet Bescherming Persoonsgegevens (Wbp). Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken, onder bepaalde omstandigheden datalekken moeten melden aan de Autoriteit Persoonsgegevens en in sommige gevallen ook aan degene van wie persoonsgegevens zijn gelekt.

Dit artikel gaat in op vragen over de meldplicht zoals wanneer moet ik melden, hoe moet ik melden en hoe snel moet ik een datalek melden? Door de vragen op een chronologische volgorde te beantwoorden kunt u bepalen of (wanneer) er in uw geval sprake is van een datalek die aan de Autoriteit Persoonsgegevens moet worden gemeld.

1. Is de meldplicht op mij van toepassing?

Om vast te stellen op de meldplicht voor datalekken op uw situatie van toepassing is, moet worden vastgesteld of de Wbp van toepassing is op uw situatie. Er moet dan sprake zijn van verwerking van persoonsgegevens waarvan u als verantwoordelijke het doel en de middelen vaststelt voor de verwerking.
Volgens de wet Wbp is een persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. NAW-gegevens zijn hier een duidelijk voorbeeld van. Ook telefoonnummers, als deze zijn te herleiden tot een individueel persoon, zijn persoonsgegevens. Van verwerking van persoonsgegevens is sprake bij een handeling zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, etc.

De Wbp geldt niet bij verwerking van persoonsgegevens voor prive doeleinden of bij informatie (zoals medische informatie) waarvoor specifieke wetgeving van toepassing is. Voor bedrijven die een openbare communicatiedienst zijn op basis van de Telecomwet, geldt een specifieke meldplicht. Zij moeten vanaf 1 januari melding doen bij de Autoriteit Persoonsgegevens in plaats van de (nu nog) de ACM.

2. Wanneer is er sprake van een datalek?

De wet omschrijft een datalek als: “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelig gevolgen heeft voor de bescherming van persoonsgegevens.

Het genoemde artikel 13 van de Wbp verplicht de verantwoordelijke om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking. Verlies houdt in dat de gegevens verloren zijn gegaan. Van onrechtmatige verwerking is sprake als een onbevoegde de persoonsgegevens aanpast, er van kennis neemt of deze verstrekt. Enkele voorbeelden van een datalek zijn:

  • Een kwijtgeraakte USB-stick;
  • Een gestolen laptop;
  • Een inbraak door een hacker;
  • Een malware-besmetting (bijv. cryptoware);
  • Een calamiteit zoals een brand in een datacentrum.

Bij een malware-besmetting is de kans groot dat gegevens worden weggesluisd naar een server, waarvan de malware afkomstig is. Bij cryptoware kunnen de gegevens worden aangetast, zodat ook dan sprake is van een datalek, in de vorm van verlies van data. Als er door een calamiteit persoonsgegevens verloren gaan of worden aangetast, moet u er dus van uitgaan dat er sprake is van een datalek. Het begrip datalek heeft dus een brede strekking. Kunnen verloren gegane gegevens weer worden hersteld (bijv. door een back-up), en/of kan worden uitgesloten dat de gelekte gegevens onrechtmatig zijn verwerkt (bijv. door log-files), dan is er geen sprake van een datalek.

3. Moet ik het datalek melden aan de Autoriteit Persoonsgegevens?

Een datalek hoeft alleen te worden gemeld bij de Autoriteit Persoonsgegevens als de datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen of ernstige gevolgen heeft voor de bescherming van persoonsgegevens. U moet zelf vaststellen of hieraan is voldaan. Om te kunnen vaststellen of het datalek moet worden gemeld, staan hier een aantal handreikingen:

  • Is er sprake van bijzondere persoonsgegevens of van persoonsgegevens die anderszins van gevoelige aard zijn, zoals:
  • Gegevens over iemands godsdienst of levensovertuiging, ras, gezondheid, seksuele leven, etc;
  • Gegevens over de financiële of economische situatie van de betrokkene;
  • Gebruikersnamen, wachtwoorden en andere inloggegevens;
  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude;
  • Is de omvang van het datalek groot?
  • Is er sprake van een kwetsbare groep personen?

Komt u op basis hiervan tot de conclusie dat er een aanzienlijke kans op ernstige nadelige gevolgen aanwezig is voor de Betrokkene, dan moet u melding maken van het datalek.

4. Hoe moet ik het datalek melden?

De Autoriteit Persoonsgegevens stelt een online webformulier beschikbaar waarmee de melding kan worden gedaan. Van de melding krijgt u een ontvangstbevestiging van de Autoriteit Persoonsgegevens.

De wet schrijft voor dat een dergelijke melding ‘onverwijld’ moet worden gedaan. De Autoriteit Persoonsgegevens hanteert de norm dat zonder vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, melding moet worden gedaan bij de Autoriteit Persoonsgegevens. Is het niet mogelijk om binnen de termijn van 72 uur volledig te overzien wat er is gebeurd, moet de melding gedaan worden met de gegevens die op dat moment bekend zijn. Zodra de informatie compleet is, kan de melding worden aangevuld. Wordt de melding na afloop van de 72 uur na ontdekking gedaan, dan moet worden gemotiveerd waarom de melding later is gedaan en het niet eerder kon.

Let op! Maakt u gebruik van een bewerker (derde) die in uw opdracht de persoonsgegevens verwerkt? Dan gaat de meldingstermijn lopen vanaf het moment dat de bewerker op de hoogte raakt van het datalek. Maak dus duidelijke afspraken met de bewerker over wie meldt en wanneer wordt gemeld.

5. Moet ik het datalek melden aan de betrokkene?

In sommige gevallen moet het datalek worden gemeld aan degene (betrokkene) van wie de persoonsgegevens zijn gelekt. De melding is niet nodig als de gelekte persoonsgegevens voldoende zijn beveiligd zodat de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn (bijv. door encryptie).

Bij verlies van persoonsgegevens zonder dat deze te herstellen of te achterhalen zijn, geldt dat dit altijd aan de Betrokkene moet worden gemeld.  Als deze gelekte persoonsgegevens zijn beveiligd moet ook een melding worden gedaan. Immers de beveiliging van de persoonsgegevens was niet voldoende om het verlies te voorkomen. Een datalek van persoonsgegevens die voldoende zijn versleuteld, of die op afstand kunnen worden gewist (remote wiping), hoeft niet te worden gemeld aan de Betrokkene. Dit geldt echter alleen als de beveiligingsmethode adequaat is. Indien er persoonsgegevens van gevoelige aard zijn gelekt, dan moet het datalek wel aan de Betrokkene worden gemeld. Verlies of onrechtmatige verwerking van dergelijke persoonsgegevens kunnen namelijk leiden tot nadelig gevolgen voor de betrokkene.

Bij een melding aan de betrokkene kunt u doorgaans met een algemene omschrijving volstaan. U neemt uw contactgegevens op zodat de betrokkene u kan bereiken als hij of zij vragen heeft over het datalek. Verder geeft u aan wat de betrokkene zelf kan doen om de negatieve gevolgen van het datalek te beperken. U moet daarbij denken aan het veranderen van gebruikersnamen en wachtwoorden.

6. Welke gegevens moet ik vastleggen over het datalek?

De Autoriteit Persoonsgegevens vereist dat de gegevens over het datalek minimaal 1 tot 3 jaar worden bewaard, afhankelijk van de ernst en de aard van het datalek.

7. Wat doet de CPB met mijn melding?

De Autoriteit Persoonsgegevens verifieert de melding en kan alsnog opdracht geven de betrokkene te informeren over het datalek, als dat niet is gebeurd. De Autoriteit Persoonsgegevens gebruikt de gegevens van de melding voor het bijhouden van een register.

De Autoriteit Persoonsgegevens heeft vanaf 1 januari 2016 de bevoegdheid om boetes op te leggen indien de overtredingen van de meldplicht datalekken wordt vastgesteld. De boete kan maximaal € 810.000,00 bedragen (boete 6de categorie), of in bijzondere gevallen zelf 10% van de jaaromzet. De Autoriteit Persoonsgegevens mag pas een boete opleggen nadat zij haar standpunt in een bindende eindbeschikking heeft kenbaar gemaakt en de overtreding blijft voortduren, tenzij er sprake is van opzet. Bij schending van de meldingsplicht van de Telecomwet, kan de Autoriteit Persoonsgegevens een maximale boete opleggen van € 450.000,00.