De Wet bescherming persoonsgegevens (Wbp) is de algemene privacywet van Nederland. Deze wet zegt -kortweg- dat bedrijven en instellingen die persoonsgegevens van anderen verwerken, dat op zorgvuldige wijze moeten doen. Die zorgvuldigheid is in de wet uitgesplitst in verschillende verplichtingen, zoals o.a. de wettelijke grondslag (alleen met een wettelijke grondslag mag de organisatie persoonsgegevens verwerken), doelbinding (alleen persoonsgegevens verwerken voor dat specifieke doel), bewaren (persoonsgegevens niet langer bewaren dan noodzakelijk), transparantie (degene van wie je persoonsgegevens verwerkt, moeten dat wel weten) en beveiliging (alle technische en organisatorische maatregelen omtrent beveiliging treffen om de persoonsgegevens te beschermen). Legt uw bedrijf bijvoorbeeld gegevens van klanten vast in een bestand, dan is de Wpb voor u van toepassing.
Door Mr. Marleen Hulshof, bedrijfsjurist Foto: Joost Smulders
Sinds 1 januari 2016 is er een artikel aan de Wbp toegevoegd, dat betrekking heeft op datalekken. Deze wetswijziging wordt ook wel de ‘wet meldplicht datalekken’ genoemd. Vanaf deze datum moeten organisaties die een datalek hebben, hiervan een melding doen bij de Autoriteit Persoonsgegevens (AP, voorheen het College bescherming persoonsgegevens). De AP is de overheidsinstantie die toeziet op naleving van de Wbp en dus ook op datalekken. De AP kan (hoge) boetes (tot € 820.000 of 10% van de jaaromzet) aan de organisatie opleggen die niet voldoet aan de Wbp. Nederland loopt met de wet meldplicht datalekken vooruit op de komende Algemene Verordening Gegevensbescherming (ook wel Europese Privacyverordening genoemd), waarin ongeveer dezelfde bepalingen met betrekking tot datalekken opgenomen zijn. Deze Verordening zal over ruim 2 jaar in werking treden en zal dan als privacywet de plaats van de huidige Wbp innemen.
Wat is een datalek?
Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsincident. Daarbij kun je denken aan e-mails verzonden naar verkeerde adressen, gestolen laptops, verloren USB-sticks en cyberaanvallen. Als er sprake is van een inbreuk op de beveiliging van persoonsgegevens en die inbreuk leidt tot een “aanzienlijke kans op ernstige nadelige gevolgen” voor de bescherming van de persoonsgegevens die door het bedrijf worden verwerkt, moet het datalek worden gemeld bij de AP. Als de inbreuk vervolgens ook nog waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene wiens persoonsgegevens gelekt zijn, dan moet er niet alleen een melding bij de AP gedaan worden, maar moet er ook aan de betrokkene(n) zelf gemeld worden. Informeren van de betrokkene hoeft niet als de persoonsgegevens adequaat versleuteld waren (er is bijvoorbeeld gebruik gemaakt van encryptietechnieken). Alle inbreuken die gemeld worden, moeten ook in de eigen administratie bewaard worden.
Wanneer is er sprake van een inbreuk op de beveiliging?
Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Het kan zijn dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. Hierbij moet u denken aan een hack in het ICT-systeem dat persoonsgegevens bevat of de diefstal of het verlies van een laptop.
Daarnaast kan de inbreuk op de beveiliging wel het gevolg zijn van een tekortgeschoten beveiliging. Bijvoorbeeld als bepaalde bestanden niet voldoende beveiligd zijn geweest of er menselijke fouten zijn gemaakt.
Ter verduidelijking, een voorbeeld.
Stel u bent directeur/eigenaar van een verhuisbedrijf. U heeft persoonsgegevens van uw klanten (zoals naam, oud adres en nieuw adres, bankrekeningnummer en de factuur voor de verhuizing) op uw laptop staan. U laat op een afspraak uw laptop in de auto liggen, waarna hij wordt gestolen. Op uw laptop staan de persoonsgegevens van klanten, zonder dat ze versleuteld zijn. Gelukkig heeft u op kantoor nog wel een back-up van alle klantgegevens. Is dit nu een datalek en moet u dit melden bij de AP??
Uw laptop is gestolen en er heeft zich dus een beveiligingsincident voorgedaan. Is er sprake van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Hierbij is bijvoorbeeld van belang of er gegevens van gevoelige aard gelekt zijn. Een gevoelig gegeven is bijvoorbeeld een betalingsgegeven van een klant. Aangezien het bankrekeningnummer en de factuur van de verhuizing tot de gelekte gegevens behoren, is hier sprake van het lekken van gevoelige gegevens en moet dit datalek gemeld worden bij de AP. Ook zal dit lek gemeld moet worden bij de betrokkenen zelf. Er moet dan immers sprake zijn van “waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene”. Bovengenoemde persoonsgegevens in handen van een crimineel, leiden tot een aanzienlijke kans dat er voor de betrokkene financiële schade en/of mogelijk (identiteits)fraude plaatsvindt.
Een ander voorbeeld.
U heeft een sportschool waarbij uw medewerkers de klanten niet alleen ondersteunen bij het sporten, maar ook voedingsadvies en adviezen over de algehele gezondheid geven. Daarnaast doen uw medewerkers standaard een ‘healthcheck’ bij de klanten zodra ze bij u lid worden, om een advies op maat te kunnen geven. Het systeem waarin al uw klantgegevens opgeslagen zitten, wordt gehackt. De klantgegevens bestaan niet alleen uit naam en adres, maar bevatten dus ook gegevens over medische klachten en/of aandoeningen, gewicht, vetpercentage enz. Moet u de hack beschouwen als datalek en dit melden aan de AP?
Doordat uw systeem gehackt is, heeft er zich een beveiligingsincident voorgedaan. Is er sprake van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Ook hier is sprake van gevoelige gegevens. Er zijn namelijk gegevens van medische aard gelekt. Dat betekent dat hier sprake is van een datalek dat gemeld moet worden aan de AP. Ook dit lek moet gemeld worden aan de betrokkenen, aangezien er gegevens van gevoelige aard zijn gelekt en daardoor stigmatisering, uitsluiting van de betrokkene of schade aan de gezondheid kan ontstaan.
Tenslotte het volgende voorbeeld.
U heeft een parfumeriezaak en heeft een bestand met ‘vaste’ klanten (waarin naam, adres en gedane aankopen zijn opgenomen) die u zo nu en dan per post een persoonlijke aanbieding toestuurt. Klant X krijgt van u een brief toegestuurd met de persoonlijke aanbieding dat deze klant 25% korting krijgt op de volgende aankoop van een specifiek parfummerk. Helaas bereikt de brief met de aanbieding niet klant X, omdat uw medewerker de brief met de aanbieding in de envelop heeft gestopt van klant Y. Klant Y meldt zich bij uw zaak met de mededeling dat zij een aanbieding heeft ontvangen waarbij zij in de brief als “Geachte klant X” wordt aangesproken”. Is er sprake van een datalek dat gemeld moet worden bij de AP?
Doordat de brief voor de ene klant per ongeluk bij de andere klant terecht is gekomen, is er inderdaad sprake van een beveiligingsincident. Maar is er ook sprake van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens? Klant Y heeft alleen kennis genomen van de naam van klant X in de brief, verder zijn er geen andere persoonsgegevens gelekt. Hierdoor is de aanzienlijke kans op ernstige nadelige gevolgen zeer beperkt en is het beveiligingsincident geen datalek dat bij de AP moet worden gemeld.
Wie moet melden?
De verantwoordelijke voor de verwerking van de persoonsgegevens, moet de melding bij de AP doen. De verantwoordelijke is het bedrijf dat bepaalt wat er met de persoonsgegevens gebeurd en de persoonsgegevens beheert. De verantwoordelijke moet dus beoordelen of er sprake is van een inbreuk op de beveiliging van persoonsgegevens. En ook of die inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens die door het bedrijf worden verwerkt. Hierbij kun je denken aan het lekken van persoonsgegevens waardoor identiteitsfraude gepleegd kan worden.
Hoe moet ik melden?
Een datalek moet binnen 72 uur gemeld worden bij de AP, via het meldingsformulier op de website van de Ap (www.autoriteitpersoonsgegevens.nl). In het meldingsformulier staat welke gegevens de melding moet omvatten. Hierbij moet u denken aan de aard van de inbreuk en een beschrijving van de geconstateerde en vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens; de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken; de instantie waar meer informatie over de inbreuk kan worden verkregen; en de maatregelen die de organisatie heeft genomen of voorstelt te nemen om de gevolgen van de datalek te verhelpen. Als er aan de betrokkene zelf gemeld moet worden, moet soortgelijke informatie verstrekt worden aan de betrokkene, zodat hij/zij weet wat er is gebeurd, om welke gegevens het gaat en welke maatregelen er getroffen zijn. U kunt deze informatie verstrekken door middel van het versturen van een brief of email aan de betrokkene(n).
Privacycheck: is uw bedrijf voorbereid op een datalek?
Van belang is om na te gaan of uw bedrijf voldoende is voorbereid op hoe te han-delen bij een eventueel datalek. Zijn beveiligingsincidenten tijdig in beeld? Weten uw medewerkers wat ze moeten doen bij een mogelijk datalek? Heeft u bijvoorbeeld een draaiboek of instructie datalekken? En zorgt u ervoor dat u tijdig meldt aan de AP?
Heeft u twijfels of vragen of uw bedrijf compliant is, neem dan een professional in de arm die gespecialiseerd is in privacy om (hoge) boetes van de AP te voorkomen evenals claims van betrokkenen wiens gegevens onder uw verantwoordelijkheid gelekt zijn.
Mr. Marleen Hulshof is bedrijfsjurist, gespecialiseerd in privacy en gegevensverstrekking en is werkzaam bij het UWV (hoofdkantoor) te Amsterdam
Plaats een reactie