Meldplicht datalekken en hoge boetes bij schending privacy

Datum: 4 januari 2016

Sinds 1 januari 2016 is de meldplicht datalekken van kracht, die is opgenomen in de wetswijziging 'Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp'.
De wetswijziging betreft een wijziging van de Wet bescherming persoonsgegevens ("Wbp") en de Telecommunicatiewet ("Tw") en bestaat uit (i) de algemene meldplicht voor datalekken, en (ii) een uitbreiding van de bevoegdheid van de Autoriteit Persoonsgegevens ("AP") (voorheen het College bescherming persoonsgegevens). 

Meldplicht datalekken
In artikel 34a Wbp is een meldplicht voor datalekken opgenomen. Volgens dit artikel moeten datalekken gemeld worden indien er sprake is van een 'inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens'. Om meer duidelijkheid te geven over het antwoord op de vraag wanneer er sprake is van een 'aanzienlijke kans' of 'ernstige nadelige gevolgen' heeft de AP beleidsregels opgesteld. Volgens de AP zijn de volgende criteria van belang bij de beoordeling van het datalek: 

  • de aard en omvang van het lek;
  • de aard van de gelekte persoonsgegevens;
  • welke technische maatregelen getroffen zijn; en
  • de gevolgen voor de persoonlijke levenssfeer van de getroffen personen.

Indien er sprake is van een datalek, dient dit in ieder geval gemeld te worden aan de AP.
U moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van de AP is voor dit doel een webformulier beschikbaar. Wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de levenssfeer van de getroffen personen, dienen zij onverwijld geïnformeerd te worden over: 

  • de aard van de inbreuk;
  • de instanties waar meer informatie over de inbreuk kan worden verkregen; en
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Naast de bovenstaande informatie dient ook de volgende informatie gemeld te worden aan de AP:

  • een beschrijving van de geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; en
  • de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

De verantwoordelijke dient een overzicht bij te houden van alle datalekken die onder de meldplicht vallen. Het overzicht moet in ieder geval de feiten en de gegevens omtrent de aard van de inbreuk bevatten, alsmede de verstrekte informatie aan de getroffen personen. De wet schrijft niet voor hoe lang het overzicht bewaard moet worden. Volgens de beleidsregels kunt u uitgaan van een bewaartermijn van minimaal één jaar. In bepaalde gevallen kan het nodig zijn om een langere bewaartermijn te hanteren, bijvoorbeeld wanneer zwaarwegende belangen ertoe geleid hebben dat u het datalek niet aan de betrokkene heeft gemeld. 

Uitbreiding van de boetebevoegdheid AP
De wetswijziging heeft tevens een uitbreiding van de boetebevoegdheid van de AP geïntroduceerd. De uitbreiding geldt niet alleen ten aanzien van de meldplicht datalekken, maar voor alle schendingen van de Wbp. De AP kan bij een schending van de Wbp boetes tot € 820.000,- of 10% van de jaaromzet opleggen. De bandbreedte van de boetes is vastgesteld en toegelicht in het concept 'boetebeleidsregels'. 

Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, zal de AP eerst een bindende aanwijzing opleggen, voorafgaand aan de eventuele oplegging van een bestuurlijke boete. 

Dit is een Legal Update van Lotte Pouw. Klik hier voor pdf. 

Voor meer informatie:

Lotte Pouw
+31 30 259 55 78
lottepouw@vbk.nl