Samenvatting
Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties
(zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit
Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten
zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens
zijn gelekt).
Kader
Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer
en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd
in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen
verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt
tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens,
of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens
(artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk
ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede
lid, Wbp).
Afwegingen
Bij de beslissing of u een gebeurtenis die zich heeft voorgedaan moet melden aan de
Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene, moet u
een aantal afwegingen maken. Het onderstaande schema geeft deze afwegingen weer.
Datalek
Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident
heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het
kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een
hacker.
Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek
als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als
u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.
Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek
en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
Melden aan de Autoriteit Persoonsgegevens
U hoeft niet ieder datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de
wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt
tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens,
of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens.
Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een
melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet u denken aan:
-
•
Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp
Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging,
ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging
en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk
gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
-
•
Gegevens over de financiële of economische situatie van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en
betalingsgegevens.
-
•
(Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of
werk of relatieproblemen.
-
•
Gebruikersnamen, wachtwoorden en andere inloggegevens
De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens
waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat
veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.
-
•
Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen
en om het Burgerservicenummer (bsn).
Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of
het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding
zijn om het datalek te melden. Maar let op: als de aard van de gelekte gegevens daar
aanleiding toe geeft is het mogelijk dat u een datalek moet melden waar de persoonsgegevens
van slechts één persoon bij betrokken zijn.
U moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72
uur na de ontdekking van het datalek. Op de website van de Autoriteit Persoonsgegevens
is voor dit doel een webformulier beschikbaar. Via dit webformulier kunt u de melding
zo nodig aanvullen of intrekken.
Melden aan de betrokkene
Als u tot de conclusie komt dat u een datalek moet melden aan de Autoriteit Persoonsgegevens,
dan betekent dit niet automatisch dat u dit datalek ook moet melden aan de betrokkene.
U moet hiervoor een aparte afweging maken.
De wet geeft aan dat u een melding moet doen aan de betrokkene als het datalek waarschijnlijk
ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen
door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad.
Daarbij moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer
en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige
aard zijn gelekt, dan kunt u er in principe van uit gaan dat u het datalek niet alleen
moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene.
Uw melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen
van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld,
een gelekt wachtwoord te vervangen. De wet schrijft voor dat u de melding onverwijld moet doen. U moet daarbij rekening houden met het feit dat de betrokkene naar aanleiding
van uw melding mogelijk maatregelen moet nemen om zich te beschermen tegen de gevolgen
van het datalek. Hoe eerder u de betrokkene daarover informeert, hoe eerder deze in
actie kan komen.
Als u passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens
die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u
de melding aan de betrokkene achterwege laten. Bij deze beschermingsmaatregelen moet
u bijvoorbeeld denken aan cryptografische bewerkingen zoals encryptie en hashing.
U moet per geval bepalen of de maatregelen die u heeft genomen voldoende bescherming
bieden om de melding aan de betrokkene achterwege te kunnen laten.
Uitzonderingen op de meldplicht
De meldplicht datalekken uit de Wbp is niet van toepassing als de Wbp niet van toepassing is. Dit is bijvoorbeeld het
geval als u uitsluitend voor persoonlijke of huishoudelijke doeleinden persoonsgegevens
verwerkt.
Als u een aanbieder van een openbare elektronische communicatiedienst bent, dan heeft
u te maken met twee meldplichten voor datalekken: de meldplicht in de Telecommunicatiewet (Tw) en de meldplicht in de Wbp. Valt een datalek (gedeeltelijk) onder de meldplicht datalekken uit de Tw? Ook dan
moet u het datalek melden aan de Autoriteit Persoonsgegevens en mogelijk aan de betrokkene.
In de Wbp zijn voorzieningen opgenomen om dubbele meldingen te voorkomen.
Als u een financiële onderneming bent zoals bedoeld in de Wet op het financieel toezicht (Wft), dan is de verplichting uit de Wbp om datalekken te melden aan de betrokkene niet op u van toepassing. Als u de betrokkenen
informeert, doet u dat op grond van uw zorgplicht als financiële onderneming.
Boete
Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke
boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig
verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende
aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete.
Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening
met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan
uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien.
Inleiding
Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt
in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken
datalekken moeten melden aan de Autoriteit Persoonsgegevens, en in bepaalde gevallen
ook aan de betrokkene. De betrokkene is degene van wie persoonsgegevens zijn gelekt.
De bedrijven, overheden en andere organisaties tot wie de meldplicht datalekken zich
richt moeten zelf een beredeneerde afweging maken of een concreet datalek dat hen
ter kennis komt onder het bereik van de wettelijke meldplicht valt. Doel van deze
beleidsregels is om hen daarbij te ondersteunen. Deze beleidsregels dienen tevens als uitgangspunt voor de Autoriteit Persoonsgegevens
bij het toepassen van handhavende maatregelen.
Deze beleidsregels gaan in op de meldplicht datalekken die is opgenomen in de Wbp. Aanbieders van openbare elektronische communicatiediensten hebben te maken met twee
meldplichten voor datalekken: de onderhavige meldplicht, en de al langer bestaande
meldplicht voor datalekken die is opgenomen in de Telecommunicatiewet (Tw). De meldplicht datalekken in de Tw komt voort uit Europese regelgeving, en de
Europese verordening 611/2013 vult de regels uit deze meldplicht nader in. Onder meer geeft deze verordening aan
op welke termijn een datalek aan de toezichthouder moet worden gemeld, welke informatie
daarbij moet worden verstrekt en hoe de betrokkene moet worden geïnformeerd over het
datalek. Verder is de meldplicht aan de betrokkene door de samenwerkende Europese
privacy-toezichthouders nader uitgewerkt in een advies, met daarin een aantal uitvoerig
geannoteerde voorbeelden. Deze beleidsregels gaan niet inhoudelijk in op de meldplicht uit de Tw. Wel sluiten
deze beleidsregels waar mogelijk aan op de bestaande invulling van deze meldplicht.
Deze beleidsregels treden in werking met ingang van 1 januari 2016, zijnde de datum
van inwerkingtreding van de meldplicht datalekken.
In de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe
geeft, zullen deze beleidsregels worden geëvalueerd en waar nodig aangepast. Er zal
dan opnieuw een consultatie plaatsvinden.
Meer informatie over de beveiliging van persoonsgegevens en over de meldplicht voor
datalekken vindt u op de website van de Autoriteit Persoonsgegevens.
Leeswijzer
Het onderstaande schema geeft per onderwerp de relevante hoofdstukken in deze beleidsregels
weer.
Behalve de onderdelen die in het bovenstaande schema zijn weergegeven, bevatten deze
beleidsregels een aantal bijlagen. In bijlage 1 bij deze beleidsregels vindt u een overzicht aan van de gegevens die u in de melding
moet verstrekken. Bijlage 2 geeft de volledige tekst weer van de wetsartikelen die in deze beleidsregels worden
geciteerd.
Waar in deze beleidsregels wordt gesproken over de 'meldplicht uit de Wbp' wordt gedoeld op de meldplicht datalekken die is opgenomen in artikel 34a Wbp en waaraan wordt gerefereerd in artikel 14 Wbp, en niet op de meldplicht voor verwerkingen van persoonsgegevens uit de artikelen 27, 28, 29 en 30 Wbp.