De meldplicht bij datalekken - Commercial Contracting en Employment & Benefits

In een Alert van 15 december 2015 hebben wij bericht over de wetswijziging in de Wet bescherming persoonsgegevens (WBP) die per 1 januari 2016 in werking is getreden. De wetwijziging houdt kortgezegd in (i) de invoering van een meldplicht voor ondernemingen in geval van een datalek die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen (of ernstige nadelige gevolgen heeft) voor de bescherming van persoonsgegevens en (ii) de verhoging van de boetes in geval van overtreding van de WBP tot maximaal EUR 820.000 of 10% van de jaaromzet. In deze Alert zal nader worden ingegaan op de meldplicht in geval van een datalek.

Inbreuk op de beveiliging
Onder datalek wordt verstaan ‘een inbreuk op de beveiliging'. Met beveiliging wordt gedoeld op de uit de WBP voortvloeiende plicht voor een onderneming (althans de verantwoordelijke in de zin van de WBP) om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. Daarnaast moeten de maatregelen er mede op gericht zijn onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Een inbreuk op bovengenoemde beveiligingsmaatregelen doet zich voor als een zogenaamd beveiligingsincident zich heeft voorgedaan, zoals een gestolen of kwijtgeraakte USB-stick of laptop, een inbraak door een hacker, een malware-besmetting of een calamiteit zoals een brand in een datacentrum. Zodanige inbreuk moet worden gemeld indien dit leidt tot een aanzienlijke kans op ernstige nadelige gevolgen of concreet ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Dit is het geval wanneer persoonsgegevens daadwerkelijk zijn verloren en/of redelijkerwijs niet kan worden uitgesloten dat er persoonsgegevens onrechtmatig verwerkt zijn.

Is er sprake van een inbreuk dan zal de werkgever/verantwoordelijke de Autoriteit Persoonsgegevens hiervan onverwijld in kennis moeten stellen. Onder ‘onverwijld' wordt, blijkens de Beleidsregels meldplicht datalekken, verstaan dat dit afhankelijk van de omstandigheden van het geval zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking dient te gebeuren. Indien een lek later dan 72 uur na ontdekking wordt gemeld, zal dit moeten worden gemotiveerd.

Hoge boete op overtreding
In geval ten onrechte geen melding is gemaakt van een datalek (of in geval van een andere overtreding van de WBP) kan de Autoriteit Persoonsgegevens een hoge boete opleggen. In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 is vastgesteld dat de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete rekening houdt met de ernst van de overtreding. Hierbij neemt de Autoriteit Persoonsgegevens de volgende omstandigheden in aanmerking:

• de aard en omvang van de overtreding;
• de duur van de overtreding; en
• de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij.

Daarnaast houdt de Autoriteit Persoonsgegevens rekening met de mate waarin de overtreding aan de overtreder kan worden verweten. Hierbij wordt gekeken of de overtreding opzettelijk is gepleegd of dat het een gevolg is van ernstig verwijtbare nalatigheid. Voorts kan de Autoriteit Persoonsgegevens rekening houden met de overige omstandigheden waaronder de overtreding is gepleegd, zoals de (financiële) omstandigheden waarin de overtreder verkeert.

De Autoriteit Persoonsgegevens zal in het algemeen eerst een bindende aanwijzing geven (bijvoorbeeld om de overtreding te herstellen) alvorens zij zal overgaan tot het opleggen van een boete, tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid.

Aanbeveling
De verplichting van ondernemingen tot het melden van datalekken en de hoge boete die het gevolg kunnen zijn van schending van deze verplichting, brengen het belang met zich mee dat een datalek tijdig bij de verantwoordelijke aan het licht komt. De werknemers zijn hierin een belangrijke schakel. Ter uitvoering van bovengenoemde plicht van een onderneming om technologische en organisatorische maatregelen te nemen ter bescherming van de persoonsgegevens verdient het aanbeveling een beleid op te stellen voor de bescherming van persoonsgegevens, waarin onder meer kan worden opgenomen dat werknemers in geval van verlies/diefstal van gegevensdragers of in geval van ontdekking van een virus of anderszins inbreuk op de hem ter beschikking gestelde apparatuur dit zo snel mogelijk op straffe van een boete aan de werkgever dienen te melden.