Privacy

Wet meldplicht datalekken: de stand van zaken

Op 1 januari 2016 is de Wet meldplicht datalekken in werking getreden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) voortaan onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens (‘AP’) in geval van een inbreuk op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Sinds inwerkintreding zijn inmiddels 4000 van dit soort meldingen gedaan.

De zogenaamde ‘Wet meldplicht datalekken’ – in werking getreden op 1 januari 2016 – legt de verplichting op om melding te maken bij de AP van iedere “inbreuk op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens” of van ieder geval waarin de aanzienlijke kans bestaat dat dergelijke gevolgen te duchten zijn. Een ‘inbreuk op de beveiliging’ kan zijn een inbreuk op de technische beveiliging – zoals hacken – maar ook op de organisatorische beveiliging, zoals een laptop met klantgegevens die in de trein blijft liggen. Moeilijker is de vraag of de inbreuk ‘ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Dit hangt af van de aard en omvang van de inbreuk, en de aard van de persoonsgegevens die het betreft. In principe is de meldplicht dus alleen voorbehouden voor ernstige gevallen, zoals bij het lekken van creditcardnummers. De Memorie van Toelichting bij de wet zegt bijvoorbeeld dat als de ledenadministratie van een lokale sportvereniging is gelekt, er niet direct aanleiding zijn tot melden. Dat kan anders zijn als er reden is om te vermoeden dat deze informatie misbruikt zal worden (bijvoorbeeld bij een hack).

Men dient naast de AP de betrokkene op de hoogte te stellen indien de inbreuk “waarschijnlijk ongunstige gevolgen” heeft voor diens persoonlijke levenssfeer. Dat zal het geval zijn indien er schade te duchten is, zoals bijvoorbeeld reputatieschade, identiteitsfraude of discriminatie. Melding aan zowel de AP als de betrokkene dient ‘onverwijld’ te gebeuren. Wat onverwijld is verschilt per situatie, maar in haar beleidsregels noemt de AP een maximumtermijn van 72 uur voor het melden aan de AP. De termijn begint te lopen vanaf het moment van ontdekking van de inbreuk door een organisatie of diens leveranciers. Het is dus belangrijk om goede afspraken te maken met onderaannemers, zogenaamde ‘bewerkers’, om ‘onverwijld’ te kunnen melden.

De melding omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De melding mag in eerste instantie nog incompleet zijn. Bij overtreding van de meldplicht datalekken uit de Wbp kan de AP een bestuurlijke boete opleggen.

De AP heeft laten weten dat er sinds het begin van 2016 4000 meldingen binnen zijn gekomen. Dat lijkt veel, maar de regering had in de eerste instantie geschat dat er jaarlijks 66.000 meldingen zouden worden gedaan. De Autoriteit heeft ook aangekondigd dat er inmiddels 10 onderzoeken lopen ten gevolge van meldingen. Dat zal bedrijven in de toekomst vermoedelijk (nog meer) ontmoedigen om een melding te doen. Een beslissing om een data-incident niet te melden herbergt echter grote risico’s. De schending van deze verplichting wordt als een ernstige beschouwd en valt in de boetebandbreedte van € 120.000 tot € 500.000. Voorzichtigheid is dus geboden.