Meldplicht datalekken geldt toch niet voor mij?

Per 1 januari 2016 is in de Wet Bescherming Persoonsgegevens de meldplicht datalekken opgenomen. Vaak wordt gedacht dat de meldplicht datalekken alleen van toepassing is op grote multinationals en overheidsinstellingen. Maar dit is een misvatting. Zowel de Wet Bescherming Persoonsgegevens als de meldplicht datalekken zijn op vrijwel alle bedrijven en instellingen in Nederland van toepassing. Het is dan ook van belang te weten waar u op moet letten en wat u wel en niet mag doen.

Het is belangrijk om regels te stellen voor het verzamelen, opslaan en gebruiken van data. De waarde van data is de afgelopen jaren significant toegenomen. Dit komt doordat het gebruik, maar ook het misbruik van data toeneemt. Wanneer de data gebruikt wordt voor het doel waarvoor het is verkregen en het gebruik binnen de regels valt, is er weinig aan de hand. Maar wanneer diezelfde data voor andere doeleinden wordt gebruikt, kan dit zeer negatieve en verstrekkende consequenties hebben voor de betrokkene. Een goede bescherming van de rechten van de betrokkene is dan ook cruciaal.

Ieder gegeven over een geïdentificeerd of identificeerbaar natuurlijk persoon wordt als persoonsgegeven aangemerkt. NAW-gegevens zijn dus persoonsgegevens, maar bijvoorbeeld ook een e-mailadres of zelfs een IP-adres. Het is van belang dat u vastlegt voor welke doeleinden de persoonsgegevens worden gebruikt. Gebruik voor andere doeleinden dan de vastgelegde doeleinden is namelijk verboden. Het opslaan en bewerken van persoonsgegeven moet worden gemeld bij de Autoriteit Persoonsgegevens. Hier zijn echter vrijstellingen voor opgenomen in het vrijstellingenbesluit. Denk daarbij aan het opslaan van personeelsgegevens, gegevens van uw klanten of leveranciers. Het is van belang goed te controleren of de gegevens die u opslaat onder de vrijstelling vallen. Is dit niet het geval, dan moet het opslaan van deze gegevens altijd worden gemeld bij de Autoriteit Persoonsgegevens.

Als u persoonsgegevens opslaat en daarmee onder de werking van de Wet Bescherming Persoonsgegevens valt, dan is ook de meldplicht datalekken op u van toepassing. Op grond van deze meldplicht moet iedere inbreuk worden gemeld. Daarbij geldt als inbreuk bijvoorbeeld een hack, een technisch falen, verlies, diefstal van telefoons/laptops of tablets. Wel is het zo dat alleen een inbreuk gemeld moet worden als deze inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer er een aanzienlijke kans hierop is. Of daarvan sprake is moet door u zelf worden beoordeeld. De inbreuk moet worden gemeld bij de Autoriteit Persoonsgegevens. Maar, is er bij de inbreuk sprake van het lekken van gegevens waarbij die gegevens bijvoorbeeld niet goed versleuteld waren of waarbij er andere redenen zijn om te veronderstellen dat het lek ongunstige gevolgen heeft voor de betrokkene, dan moet de inbreuk ook worden gemeld bij die betrokkene. Dat betekent dat degene wiens gegevens zijn gelekt van dit lek op de hoogte moet worden gebracht.

Voorheen had de Autoriteit Persoonsgegevens geen mogelijkheid een boete op te leggen wanneer niet werd voldaan aan de Wet Bescherming Persoonsgegevens. Die boetemogelijkheid is er nu wel en is omvangrijk. In het ergste geval kan een boete worden opgelegd van ruim € 800.000,– of 10% van de omzet. Wel is het zo dat een boete pas kan worden opgelegd nadat de Autoriteit Persoonsgegevens u aanwijzingen heeft gegeven om inbreuk tegen te gaan en de persoonsgegevens beter te beveiligen. Voldoet u niet aan die aanwijzingen, dan kan een boete volgen.

De meldplicht datalekken is hoogstwaarschijnlijk ook op u van toepassing. Zorg ervoor dat u goed weet welke gegevens in uw organisatie worden opgeslagen en of deze onder de vrijstelling van de Wet Bescherming Persoonsgegevens vallen. Is dit niet het geval meld dan de opslag van deze gegevens bij de Autoriteit Persoonsgegevens Zorg dat uw ICT-omgeving voldoende beveiligd is en dat ook het personeel op de hoogte is van mogelijke beveiligingsrisico’s. Vindt er toch een inbreuk plaats, controleer dan goed of hierbij persoonsgegevens zijn gelekt en of dit lek moet worden gemeld bij de Autoriteit Persoonsgegevens of zelfs bij de betrokkene(n). Als u op deze wijze handelt voorkomt u dat er mogelijk een boete door de Autoriteit Persoonsgegevens wordt opgelegd.