Op 1 januari 2016 treedt de Wet Meldplicht Datalekken in werking. Op grond van deze wet moet een “datalek” gemeld worden bij het CBP en de betrokkenen op straffe van fikse boetes. Daarbij gaat het niet alleen over internet gerelateerde databeveiliging; de meldplicht geldt ook voor “lekken” met betrekking tot papieren bestanden en “gewone” IT-systemen (een standalone-server bijvoorbeeld waarop persoonsgegevens staan of de kast met personeelsdossiers in de kamer van de HR medewerker). De controlerende instantie is het College Bescherming Persoonsgegevens dat vanaf 1 januari 2016 “Autoriteit Persoonsgegevens” heet.

Wat is een datalek? Aan wie moet gemeld worden en hoe? Wie bepaalt of er gemeld moet worden en wat gebeurt er als er niet gemeld wordt?

Een datalek is een “inbreuk op de beveiliging .. die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. De inbreuk moet dus een impact hebben op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. En daarbij gaat het niet alleen om “lekken” die zich daadwerkelijk hebben voorgedaan (gegevens zijn bijvoorbeeld in handen van onbevoegden gekomen), maar ook om situaties waardoor er een aanzienlijke kans op een datalek bestaat. Een “lek” is niet alleen het zoek raken of op straat komen te liggen van gegevens, maar van een “lek” is bijvoorbeeld ook sprake bij vernietiging of in geval van onrechtmatige verwerking van persoonsgegevens. Van een datalek kan al snel sprake zijn: een gestolen of zoekgeraakte laptop of usb stick, inbraak door een hacker, een besmetting met malware, brand in een datacentrum.

Hoe weet een bedrijf / instelling of er sprake is van aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens?

De wet geeft daar het antwoord niet op en het betreffende bedrijf / de instelling moet zelf de inschatting maken of daar sprake van is. Een lastige zaak omdat het nieuwe wetgeving betreft en omdat het verkeerde besluit – niet melden terwijl dat wel had gemoeten – een behoorlijk dure grap kan worden door de boetes die het CBP vanaf 1 januari 2016 mag opleggen bij overtreding van de wet; boetes die per overtreding kunnen oplopen tot EUR 820.000.

CBP heeft op 9 december jl. haar definitieve beleidsregels gepubliceerd (zie www.cbpweb.nl) betreffende het opleggen van die boetes. De beleidsregels zijn ervoor bedoeld bedrijven te helpen bij het maken van de afweging of sprake is van een datalek en of er een meldplicht bestaat. Met de mogelijkheid van het opleggen van boetes loopt het CBP overigens vooruit op de Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation). Op 15 december jl. is in Europa definitieve (politieke) overeenstemming bereikt over deze Verordening. Vervolgens zal de definitieve tekst van de Verordening – naar verwachting begin 2016 – worden vastgesteld. De Verordening treedt dan 2 jaar daarna in werking. Onder de Verordening kunnen de boetes zelfs oplopen tot 4% van de wereldwijde omzet. Zaak om daar serieus rekening mee te houden dus…

Terug naar Nederland, naar 1 januari 2016 en de Wet Meldplicht Datalekken.

Of er een meldplicht is, hangt dus af van de impact / de ernst van het datalek. Die ernst wordt mede gekleurd door het soort persoonsgegevens die “gelekt” zijn of waarvan de kans bestaat dat ze kunnen “lekken”. Extra alertheid is geboden bij bijzondere persoonsgegevens (denk aan medische, religieuze, politieke), gegevens over de financiële / economische situatie van personen (schuldsanering, hypotheek, alimentatieplicht etc.), gegevens die kunnen leiden tot stigmatisering / uitsluiting (seksuele geaardheid bijvoorbeeld), gebruikersnamen, wachtwoorden en andere inloggegevens en gegevens die kunnen worden gebruikt voor identiteitsfraude.

In geval van een datalek in de zin van de wet (zoals hiervoor beschreven), moet er “onverwijld” gemeld worden aan het CBP. Er mag niet te lang gewacht worden met melden, maar er mag ook wel tijd uitgetrokken worden voor onderzoek (denk ook aan onderzoek naar de aard en ernst van het lek om te kunnen bepalen of er überhaupt een meldplicht bestaat). Het CBP gaat in haar beleidsregels uit van een termijn van in beginsel 72 uur na ontdekking van het incident. Let op: het incident kan ook ontdekt worden door de bewerker: het hosting bedrijf bijvoorbeeld of de Saas-leverancier. Per geval zal bekeken moeten worden wat “onverwijld” is: in ons rechtssysteem hangt het (juist) toepassen van rechtsregels nu eenmaal vaak samen met “de omstandigheden van het geval” hetgeen helaas niet bijdraagt aan de rechtszekerheid, maar wel ruimte biedt voor correctie op grond van redelijkheid en billijkheid. Indien er binnen die termijn van 72 uur nog geen duidelijkheid is over wat er gebeurd is en om welke gegevens het gaat, kan (moet) er gemeld worden op basis van de gegevens die op dat moment bekend zijn; de melding kan later nog aangevuld worden (of ingetrokken).

Een heel scala aan onderwerpen moet gemeld worden: aard en omvang van het datalek, de vermoedelijke gevolgen, de maatregelen, de betrokken instanties. Op haar website geeft het CBP daar uitvoerige en praktische informatie over. Melding aan betrokkenen kan, afhankelijk van de omstandigheden, per brief, krant, website, email, telefoon etc en hen dient de mogelijkheid geboden te worden tot correctie / reactie.

Bij overtreding van de wet, kan het CBP boetes opleggen tot maximaal EUR 820.000. Alvorens boetes op te leggen zal het CBP eerst aanwijzingen geven over de inrichting van de beveiliging (tenzij sprake is van opzet / ernstig verwijtbaar nalatig handelen, dan kan direct een boete worden opgelegd). De hoogte van de boete is afhankelijk van het type schending; de schendingen zijn ingedeeld in categorieën en per categorie is een boete-/bandbreedte bepaald: Categorie I: 0- 200.000, Categorie II: 120.000 – 500.000; Categorie III: 350.000 – 820.000. Schending van de meldplicht valt bijvoorbeeld onder categorie II en eventueel III. Let op: de boete is per schending, dus als wel gemeld wordt aan het CBP maar niet aan betrokkenen, of andersom, is er toch ruimte voor een boete van maximaal EUR 820.000.

Afgezien van (en naast) de boete, kan er ook aansprakelijkheid ontstaan indien gehandeld wordt in strijd met de wet: de overtreder kan bijvoorbeeld aansprakelijk zijn jegens de betrokken personen bij niet, te laat of te weinig melden bij CBP, bij niet, te laat of te weinig melden bij betrokken personen, bij niet voldoen aan een last van het CBP, indien er geen incidentenregister is bijgehouden. Een onvoldoende beveiliging kan onrechtmatig zijn. Door melding van het datalek ontloopt de overtreder zijn aansprakelijkheid overigens niet. Naar betrokkenen toe is het uitsluiten of beperken van aansprakelijkheid niet mogelijk.

Wel kunnen in de onderlinge relatie verantwoordelijke / bewerker afspraken worden gemaakt over de verdeling van verantwoordelijkheden en het verleggen van risico’s. Denk daarbij aan afspraken over de meldplicht, medewerking bij incidenten, het bijhouden van een incidentenregister, het verschaffen van tijdige en adequate informatie over incidenten, best practices, auditing.

Cordemeyer & Slager / Advocaten helpt u graag bij het opstellen en aanpassen van uw bewerkersovereenkomsten, het opstellen van draaiboeken in geval van datalekken en wij adviseren en ondersteunen u indien u geconfronteerd wordt met incidenten. U kunt contact opnemen met Irvette Tempelman; i.m.tempelman@cslaw.nl. Zie ook haar artikelen over privacy en de bescherming van persoonsgegevens op www.cslaw.nl.