Iedere organisatie krijgt vroeg of laat te maken met enige vorm van verlies, diefstal of misbruik van persoonsgegevens (datalekken). Hacken gebeurd op zodanig grote schaal dat iedereen wel een keer het slachtoffer wordt. Het is niet de vraag of het gebeurd maar wanneer. Daarnaast kunnen persoonsgegevens ook door eigen fouten/nalatigheid op straat komen te liggen.

Diginotar is gevolgd door een hele reeks incidenten die inmiddels genoegzaam bekend zijn en voor een overzicht kunt u bijvoorbeeld het zwartboek van Bits of Freedom raadplegen.

Wat te doen als u merkt dat uw data is gelekt afgezien van een mogelijk betere security en technische maatregelen. Als er persoonsgegevens ‘op straat liggen’ of door iemand zijn geconfisqueerd en/of er is onbevoegd ingelogd, moet je in actie komen.

Aanbieders van openbare elektronische communicatiediensten en -netwerken hebben een meldplicht aan de Autoriteit Consument en Markt (ACM) en betrokkenen op grond van artikel 11.3a Telecommunicatiewet. Een inbreuk op de beveiliging met nadelige gevolgen voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie dient onverwijld gemeld te worden aan de ACM. Een inbreuk wordt voorts gemeld aan de betrokkenen indien het waarschijnlijk is dat de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De melding bevat in ieder geval de aard van de inbreuk, de contactpersoon waar meer informatie kan worden verkregen en de voorgenomen maatregelen om de negatieve gevolgen van de inbreuk te beperken. Indien de persoonsgegevens onbegrijpelijk zijn gemaakt voor onbevoegden, bijvoorbeeld door middel van encryptie, hoeft er aan de betrokkenen niet gemeld te worden. Men gaat er hierbij vanuit dat er geen ongunstige gevolgen zullen zijn voor diens persoonlijke levenssfeer. Een provider dient een overzicht bij te houden van alle inbreuken inclusief hetgeen gemeld is.

Op grond van de Wet Bescherming Persoonsgegevens (WBP) dient de verantwoordelijke persoonsgegevens op een behoorlijke en zorgvuldige wijze te verwerken. De verantwoordelijke dient onder meer de betrokkene te informeren over de doeleinden waarvoor persoonsgegevens worden verwerkt, welke persoonsgegevens worden verwerkt, hoe lang de verwerking zal duren, aan wie de persoonsgegevens eventueel worden verstrekt e.d. Daar wordt ook wel een meldplicht in gezien.

In het wetsontwerp meldplicht datalekken dat thans voor behandeling bij de Tweede Kamer ligt, wordt een nieuw artikel 34a WBP voorgesteld met een onverwijlde meldplicht voor verantwoordelijken aan het College Bescherming Persoonsgegevens (CBP) en betrokkenen. De melding aan het CPB dient plaats te vinden onverwijld nadat de verantwoordelijke de inbreuk op de beveiliging heeft geconstateerd en heeft vastgesteld dat redelijkerwijs kan worden aangenomen dat de inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de door/namens hem verwerkte persoonsgegevens. Daarnaast dient de verantwoordelijke de inbreuk aan de betrokkene te melden indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. In het ontwerp Europese Privacy verordening is een termijn van maximaal 24 uur op genomen waarbinnen de melding – voor zover mogelijk – dient plaats te hebben, te rekenen vanaf het moment dat de verantwoordelijke de inbreuk heeft geconstateerd. In het ontwerp Europese Privacy verordening is voor de bewerker de verplichting opgenomen om de verantwoordelijke onmiddellijk in kennis te stellen van een door hem geconstateerde inbreuk op de beveiliging. Een dergelijke zelfstandige wettelijke verplichting voor de bewerker is niet opgenomen in de nationale concept meldplicht.

Bij het opstellen van het voorstel meldplicht is zoveel mogelijk aansluiting gezocht bij de reeds bestaande meldplicht in de Telecommunicatiewet. Ook in het nationale concept meldplicht WBP dient een melding in ieder geval de aard van de inbreuk, de contactpersoon waar meer informatie kan worden verkregen en de voorgenomen maatregelen om de negatieve gevolgen van de inbreuk te beperken te bevatten. Ook hier geldt dat indien de persoonsgegevens onbegrijpelijk zijn gemaakt voor onbevoegden, bijvoorbeeld door middel van encryptie, de inbreuk niet aan de betrokkenen gemeld hoeft te worden. En de verantwoordelijke dient net als de provider een overzicht bij te houden van alle inbreuken inclusief hetgeen gemeld is. Om samenloop tussen de Telecommunicatiewet en de WBP te voorkomen is in de nationale concept meldplicht WBP een bepaling opgenomen die regelt dat de WBP niet van toepassing is op aanbieders van elektronische communicatiediensten die reeds een melding op grond van de Telecommunicatiewet hebben gedaan.

Op basis van een voorgesteld artikel 66 WBP kan het CBP aan verantwoordelijken een boete opleggen van maximaal € 450.000,= bij overtreding van artikel 34a WBP. In het wetsontwerp worden tevens kleine aanpassingen op de Telecommunicatiewet voorgesteld waarvan de belangrijkste het vervangen van de ACM door het CBP als toezichthoudende instantie op de meldplicht en een mogelijkheid voor het CBP tot het opleggen van een boete van hoogstens € 450.000,= bij overtreding van de meldplicht in de Telecommunicatiewet.
Het wetsontwerp Meldplicht datalekken is een voorschot op de voorgestelde meldplicht zoals opgenomen in het ontwerp Europese Privacy verordening. Naar verwachting zal deze verordening in 2016 van kracht worden. In de tussentijd zou dan alvast de nationale meldplicht gelden vanaf het moment van inwerkingtreding van de wijziging op de WBP (en Telecommunicatiewet), maar dat is nog niet zeker.

Als verantwoordelijke dien je er primair voor zorg te dragen je beveiligingsmaatregelen ter voorkoming van inbreuken op orde te hebben op grond van artikel 13 WBP en bij het inschakelen van een bewerker op grond van artikel 14 WBP er op toe te zien dat de bewerker de beveiligingsmaatregelen naleeft. Van een inbreuk is niet alleen sprake als de beveiliging tekortschiet. Ook als de beveiliging van voldoende niveau is, kan sprake zijn van een inbreuk waarvoor de meldplicht geldt. Daarbij komt dat een tekortschietende beveiliging niet alleen toeziet op al dan niet genomen technische beschermingsmaatregelen maar ook op al dan niet genomen organisatorische beschermingsmaatregelen (‘best practices’), zoals het slordig omgaan met wachtwoorden, foutief adresseren van brieven of mails, zoekraken van vertrouwelijke documenten, laptops, telefoons, memory sticks e.d.

Meldingen draaiboek

Een draaiboek over wat te doen in geval van een inbreuk op de beveiliging is belangrijk om geen onnodige tijd te verliezen opdat het één en ander onverwijld aan het CBP kan worden gemeld en zo nodig aan de betrokkenen. Het is natuurlijk ook van belang om je aansprakelijkheid voor schade te beperken, maar denk ook aan mogelijk hoge boetes die kunnen worden opgelegd!

Bij een goed draaiboek moet je bijvoorbeeld denken aan het vormen van een beslisvaardig team bestaande uit eigen medewerkers, een (privacy)jurist en een deskundige op het terrein van informatiebeveiliging (en inbreuken daarop).

Zolang het wetsontwerp datalekken nog geen kracht van wet heeft, hoef je een inbreuk op de beveiliging nog niet aan het CBP te melden. Maar een melding aan betrokkenen van een inbreuk die (hoogstwaarschijnlijk) ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer is alleen al verstandig gezien de verplichting om persoonsgegevens zorgvuldig en behoorlijk te verwerken alsmede om te voldoen aan de algemene maatschappelijke zorgvuldigheidsnorm. Meld je niet dan loop je ook het risico aansprakelijk gesteld te worden voor schade. Verzekeraars als Chubb hebben overigens in dit verband al op maat gemaakte polissen, die bijvoorbeeld de kosten van melden dekken.

Beschrijf in de melding aan de betrokkenen zo duidelijk mogelijk de aard van de inbreuk, welke informatie er (mogelijk) is kwijtgeraakt. Wat er is en wordt gedaan om de problemen op te lossen en schade zoveel mogelijk te voorkomen en te beperken. Hoe en met wie contact kan worden opgenomen voor verdere informatie en wat betrokkenen kunnen doen om hun schade te beperken en welke maatregelen ze zelf kunnen nemen.

Denk ook eventueel aan een goed persbericht. In een persbericht dien je voorzichtig te zijn met je mededelingen, maar wees zo transparant mogelijk, omdat je anders steeds weer met een persbericht moet komen hetgeen mogelijk meer imagoschade oplevert.

Met transparantie is een hoop te winnen. Door transparant te zijn en adequaat te handelen in het geval van een inbreuk geef je de betrokkenen het vertrouwen dat op een zorgvuldige en behoorlijke wijze met hun persoonsgegevens wordt omgegaan. Voorkom imagoschade door de betrokkenen goed te informeren over privacy inbreuken met voor hen (waarschijnlijk) nadelige gevolgen en de betrokkenen tijdig in de gelegenheid te stellen om schade beperkende maatregelen te treffen.

Uiteraard zullen wij u graag bij het één en ander helpen.