Autoriteit Persoonsgegevens kleurt meldplicht in

Per 1 januari 2016 is de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp) in werking getreden. Hierdoor hebben organisaties die persoonsgegevens verwerken de verplichting om datalekken te melden. De Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens, CBP) heeft haar rol inmiddels opgepakt en heeft een meldloket geopend en beleid uitgewerkt over de vraag of en wanneer een melding van een datalek noodzakelijk is.

Meldloket

Bedrijven, overheden en andere organisaties voor wie de meldplicht datalekken geldt (de ‘verantwoordelijken’ volgens de Wbp) kunnen terecht bij het meldloket op de site van de Autoriteit Persoonsgegevens. Ze moeten zelf een beredeneerde afweging maken of een concreet datalek van persoonsgegevens onder het bereik van de wettelijke meldplicht valt. Wel heeft de Autoriteit Persoonsgegevens beleidsregels uitgewerkt. Deze kunnen dienen als richtsnoer bij het maken van de afweging of men een datalek moet melden of niet. De beleidsregels hebben nog een voorlopig karakter. Ze worden in 2017 definitief vastgesteld.

Beleidsregels

De beleidsregels van de Autoriteit Persoonsgegevens behandelen met name de volgende aspecten:

  1. Wanneer is er een meldplicht?
  2. Wanneer is er sprake van een datalek?
  3. Wanneer en hoe moet men het datalek melden?
  4. Wanneer en hoe moet men het lek melden aan de betrokkenen (degenen van wie de persoonsgegevens zijn gelekt)? 

Wanneer meldplicht?

Om te bepalen óf het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens, en eventueel ook aan de betrokkenen, stelt de Autoriteit Persoonsgegevens een schema ter beschikking:

Wanneer datalek?

Niet ieder beveiligingsincident is een datalek. Daarvan is sprake als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan. Of als onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is. Bij een beveiligingsincident valt bijvoorbeeld te denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Als er alleen een zwakke plek is in de beveiliging, is er sprake van een beveiligingslek en niet van een datalek. Dit hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens. 

Wanneer melden?

Volgens de wet is melding aan de Autoriteit Persoonsgegevens verplicht als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als daar een aanzienlijke kans op is.
Bij persoonsgegevens van gevoelige aard is doorgaans melding nodig. Bijvoorbeeld bij het lekken van:

  • bijzondere persoonsgegevens (art. 16 Wbp): zoals godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, strafrechtelijke persoonsgegevens
  • gegevens over de financiële en economische situatie van betrokkenen: schulden, salaris, betalingsgegevens
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkenen: bijvoorbeeld gokverslaving, aids, relatieproblemen
  • gebruikersnamen, wachtwoorden en andere inloggegevens
  • gegevens die kunnen worden misbruikt voor (identiteits)fraude: het gaat hierbij om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer

De melding moet gedaan worden zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. 

Wanneer melden aan betrokkene?

Volgens de wet is er een meldplicht aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer: denk bijvoorbeeld aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kan men er in principe van uitgaan dat het lek ook aan de betrokkenen gemeld moet worden. En zo snel mogelijk, zodat de betrokkenen beschermingsmaatregelen kunnen nemen.
 
Op financiële ondernemingen, zoals bedoeld in de Wet op het financieel toezicht (Wft), is de verplichting uit de Wbp om datalekken te melden aan de betrokkenen niet van toepassing. Als zij de betrokkenen informeren, doen ze dat op grond van hun zorgplicht als financiële onderneming (Wft). Wel moeten ze uiteraard een datalek melden aan de Autoriteit Persoonsgegevens. 

Versleutelde gegevens

Als passende technische beschermingsmaatregelen zijn genomen, waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kan de melding aan de betrokkenen achterwege blijven. Deze beschermingsmaatregelen kunnen bijvoorbeeld cryptografische bewerkingen zijn, zoals encryptie en hashing (In de informatica wordt een hashfunctie gebruikt om unieke versleutelingen te berekenen.). De Autoriteit Persoonsgegevens wijst ook op de Europese verordening 611/2013, die een nadere invulling geeft aan adequate versleuteling. 

Meer weten?

Bekijk de beleidsregels van de Autoriteit Persoonsgegevens
Ook in de Beursbengel van april 2016 vindt u een uitgebreid artikel over de meldplicht. 

Vernieuwde opleiding CCO

Meer informatie over de omgang met data en privacy biedt onze opleiding Certified Compliance Officer (CCO). Deze opleiding heeft NIBE-SVV recent helemaal vernieuwd.
 
Andere opleidingen op dit gebied van NIBE-SVV:

Deel dit artikel
Wellicht ook interessant
Heb je vragen?
Onze opleidingsadviseurs zijn nu telefonisch bereikbaar. Op werkdagen van 08.30 tot 17.00 uur. WhatsApp van 10.00 tot 16.00 uur.
Schrijf je in voor de Nieuwsbreak
Ontvang maandelijks het laatste nieuws uit de financiële sector en van NIBE-SVV in je mailbox.
Incompany mogelijkheden

Wil je met je team, afdeling of organisatie je kennis en vaardigheden vergroten? Volg samen een training uit ons uitgebreide aanbod. Ook maatwerk mogelijk!