icon

Eerste Hulp bij Datalekken: CBP publiceert richtsnoeren meldplicht

U weet het. Vanaf 1 januari 2016 kan data lekken veel geld gaan kosten. Dan treedt de wijziging van de Wet bescherming persoonsgegevens (Wbp) als gevolg van de Wet meldplicht datalekken in werking. Als er gelekt is en niet is gemeld kan het College Bescherming Persoonsgegevens (CBP) boetes gaan opleggen, die kunnen oplopen tot 800.000 euro per overtreding. Wanneer gebeurt dat? Hoe kunt u het voorkomen? Waarmee moet u nog meer rekening houden? In een countdown naar 1 januari aanstaande gaan wij het u in een serie artikelen uitleggen. Vandaag aflevering 1.

Afgelopen week heeft het CBP de langverwachte richtsnoeren gepubliceerd die gebruikers moeten helpen bij de afweging of een zogenaamd datalek al dan niet gemeld moet worden. Het gaat om een eerste versie van de richtsnoeren, een zogeheten consultatieversie. Tot 20 oktober a.s. kunnen belanghebbenden commentaar leveren op deze richtsnoeren. Daarna zal, als het goed is nog vóór 1 januari, de definitieve versie verschijnen.

De richtsnoeren zijn een handig hulpmiddel voor de praktijk, omdat de wet weinig handvatten biedt. Deze vermeldt slechts dat een melding bij het CBP verplicht is in geval van: “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens“.

Het genoemde artikel 13 verplicht de verantwoordelijke (degene die vaststelt hoe en met welk doel de persoonsgegevens worden verzameld, opgeslagen, etc.) om passende maatregelen te treffen die de persoonsgegevens beveiligen tegen verlies of onrechtmatige verwerking. In de richtsnoeren worden deze termen nader uitgewerkt aan de hand van schema's en uitgebreide toelichtingen daarop. In deze eerste bijdrage aan de serie geven wij een beknopt overzicht van de inhoud daarvan. Vervolgens zullen wij ze meer in detail doorlopen.

Het CBP begint in de richtsnoeren bij het begin, dus bij het definiëren van een “inbreuk op de beveiliging, bedoeld in artikel 13″ – kort gezegd een datalek. Om te beoordelen of er in een gegeven situatie sprake is van een datalek, dient de verantwoordelijke eerst na te gaan of de verwerkte persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Als dat het geval is, dient hij te controleren of het redelijkerwijs denkbaar is dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Zijn beide vragen met “ja” beantwoord, dan komt de vraag aan de orde of het lek ook daadwerkelijk gemeld moet worden.

Een datalek moet uitsluitend gemeld worden indien er op grond van de Telecommunicatiewet een meldplicht bestaat, of wanneer er sprake is van ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daarop. De meldplicht uit de Telecommunicatiewet geldt enkel voor aanbieders van openbare elektronische communicatiediensten, zoals internetproviders en telecomaanbieders. Dit soort bedrijven valt ook onder de Wbp en moet dus rekening houden met twee meldplichten. Een klein gelukje: beide typen meldingen dienen te worden gedaan bij het CBP.

Soms is een melding bij alleen het CBP niet voldoende, en moet het datalek ook gemeld worden aan de betrokkene – de persoon van wie de persoonsgegevens zijn gelekt. Dit aspect van de wet beslaat het grootste deel van de afweging en daarmee van de richtsnoeren. Hierbij komt onder meer de vraag aan de orde of er bepaalde technische maatregelen (denk aan versleuteling) zijn genomen die voldoende bescherming bieden om melding achterwege te laten, en of het datalek waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene zal hebben.

Tot slot kent de wet een verplichting om een overzicht bij te houden van alle datalekken die onder de meldplicht vallen. Alle feiten en gegevens omtrent de aard van de inbreuk moeten in dat overzicht worden opgeslagen. De richtsnoeren geven meer duidelijkheid over de duur van de bewaarplicht: in ieder geval tot een jaar na melding, maar in veel gevallen langer – tot drie jaar.

In het volgende deel van deze serie zullen we het begrip datalek nader toelichten. Vervolgens zullen de meldplicht bij het CBP en de meldplicht aan de betrokkene aan de orde komen, en tot slot de bewaarplicht. Uiteraard zullen wij ook de wijze van melding niet onvermeld laten, alsmede – niet onbelangrijk – de termijn waarbinnen gemeld moet worden. Wanneer de definitieve versie van de richtsnoeren te zijner tijd blijkt af te wijken van deze consultatieversie (wat overigens niet de verwachting is), komen er updates.

Andere afleveringen van deze serie:
Afl. 2: Richtsnoeren CBP: wat is een datalek?
Afl. 3: Meldplicht CBP: bij welke datalekken, wanneer, hoe?
Afl. 4: Datalekken melden aan betrokkenen – wanneer?
Afl. 5: Richtsnoeren meldplicht datalekken – na de melding
Afl. 6: Meldplicht datalekken: de boetes van het CBP (1)
Afl. 7: De boetes van het CBP (2): wanneer krijgt u een boete?
Afl. 8: “Maar waar staat dat dan?” – de wijzigingen van de Wbp in beeld
Afl. 9: Bewerkers en de Wet Meldplicht Datalekken
Af.10: Wet meldplicht datalekken: De Checklist

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Eerste Hulp bij Datalekken: CBP publiceert richtsnoeren meldplicht

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief