Met ingang van 1 januari 2016 is de Wet Meldplicht Datalekken van kracht geworden. Voor elke organisatie die met persoonsgegevens werkt, is dit een wet om rekening mee te houden. Wat houdt de Wet Meldplicht Datalekken in en wat zijn de belangrijkste gevolgen voor organisaties die met persoonsgegevens werken?
We spreken van een datalek als persoonsgegevens in handen komen van derden die normaal gesproken geen toegang tot deze data zouden moeten hebben. Een datalek en de beveiling van persoonsgegevens staan in dit verband in relatie tot elkaar. Bij een datalek gaat het dus om een ongeoorloofde toegang tot persoonsgegevens.
Meldplicht Datalekken
Een datalek is in relatie tot de nieuwe wet een breed begrip. Vernietiging van persoonsgegevens is een datalek. Ook het wijzigingen en vrijkomen van persoonsgegevens zijn een datalek. Deze zaken moeten wel plaatsvinden zonder dat dit de bedoeling is. Praktijkvoorbeelden van een datalek: iemand verliest in de trein een onbeveiligde usb-stick met persoonsgegevens. Een gestolen laptop met persoonsgegevens of een gestolen papieren lijst met klantgegevens vallen ook onder de definitie van een datalek. Als een hacker inbreekt in een computersysteem en persoonsgegevens buitmaakt, spreken we ook van een datalek.
In relatie tot de Wet Meldplicht Datalekken heeft de Autoriteit Persoonsgegevens (AP) beleidsregels bedacht. Met behulp van deze regels kunnen bedrijven vaststellen of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens, sinds 1 januari 2016 de nieuwe naam van het College Bescherming Persoonsgegevens (CBP). De Autoriteit Persoonsgegevens (AP) is een overheidsinstantie die toezicht houdt op het zorgvuldige gebruik van persoonsgegevens.
Datalek melden?
Als een datalek voldoende ernstig is, moet het direct worden gemeld aan de Autoriteit Persoonsgegevens (AP). Of een datalek voldoende ernstig is, wordt bepaald aan de hand van de volgende drie criteria. In de eerste plaats moet er inbreuk zijn gemaakt op de beveiliging van de persoonsgegevens. In de tweede plaats moet de inbreuk zich hebben voorgedaan in de publiek of private sector. In de derde plaats leidt de inbreuk mogelijk tot diefstal, verlies of misbruik van persoonsgegevens. Als het datalek aan deze drie criteria voldoet, moet hiervan binnen 72 uur een melding worden gemaakt bij de toezichthouder. De melding kunnen organisaties online doen via het meldloket datalekken.
Een melding van een datalek moet een aantal onderdelen bevatten: de aard van de inbreuk, de contactgegevens van het bedrijf dat de melding doet, een overzicht van de genomen maatregelen om gevolgen van de inbreuk te beperken en de voorstellen om de gevolgen van een datalek in de toekomst te voorkomen. Een organisatie is verplicht om een logboek bij te houden van alle lekken die ernstig genoeg waren om aan de toezichthouder te melden.
Organisaties die elektronische communicatiediensten aanbieden, waren op grond van de Telecommunicatiewet al voor 1 januari 2016 verplicht om datalekken te melden. Dit moest voorheen bij Autoriteit Consument en Markt (ACM). Vanaf 1 januari 2016 melden ze deze datalekken bij de Autoriteit Persoonsgegevens (AP).
Gedupeerden informeren
Personen die mogelijk nadelige gevolgen van de het datalek, moeten op de hoogte worden gebracht. Ze moeten in elk geval geïnformeerd worden over de aard van de inbreuk en de mogelijke gevolgen. Ze moeten weten waar ze meer informatie kunnen krijgen over het ontdekte datalek. Als gelekte persoonsgegevens versleuteld zijn, dan hoeven de betrokken personen niet te worden geïnformeerd. In het geval van versleutelde gegevens heeft een datalek geen nadelige gevolgen voor personen.
Personen van wie gegevens zijn gelekt, kunnen zelf ook gepaste maatregelen nemen, bijvoorbeeld het blokkeren van een bankrekening of een creditcard. Het zelf veranderen van een gebruikersnaam en/of wachtwoord behoren eveneens tot de mogelijkheden.
Als persoonsgegevens door een datalek in de publiciteit zijn gekomen, kan daar schade uit voortvloeien voor de betrokken personen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt.
Boetes opleggen
De Autoriteit Persoonsgegevens mag onmiddellijk een boete opleggen als de overtreding opzettelijk is begaan. De privacytoezichthouder kan hoge boetes opleggen: maximaal € 820.000 of 10% van de jaaromzet van een organisatie als het eerdergenoemde bedrag niet passend is. In de meeste gevallen krijgt een organisatie eerst een bindende aanwijzing. De hoge boetes moeten bedrijven prikkelen om persoonsgegevens beter te beveiligen. Bedrijven willen liever niet negatief in het nieuws komen vanwege een datalek en een hoge boete betalen aan de Autoriteit Persoonsgegevens doen ze liever niet.