De Wet Meldplicht Datalekken, iedereen moet aan de slag!

Het besef dat in onze huidige maatschappij persoonsgegevens (beter) beschermd moeten worden neemt toe. Door de toenemende digitalisering laat iedere internetgebruiker namelijk, bewust of onbewust, een spoor van persoonsgegevens achter. De wetgever voert een voortdurende strijd om het beschermingsniveau van haar burgers te verhogen en te verbeteren. Dit leidt tot nieuwe wetgeving; recentelijk de nieuwe Wet Meldplicht Datalekken en (naar verwachting) volgend jaar de nieuwe privacy verordening. Deze nieuwe wetgeving zal niet alleen het beschermingsniveau van burgers verhogen, het zal vooral ook ingrijpende consequenties hebben voor elk bedrijf dat persoonsgegevens

Ik sprak ook in de uitzending van De Financiële Telegraaf TV over De Wet Meldplicht Datalekken, die per 1 januari 2016 geldt. Bekijk het interview hier.

Meldplicht

De Eerste Kamer heeft op 4 juni jl. de Wet Meldplicht Datalekken officieel aangenomen en deze zal per 1 januari 2016 van kracht zijn. In deze nieuwe wet is het meest in het oog springend de nieuwe meldplicht. Dit houdt in dat bij een datalek (iedere situatie waarbij persoonsgegevens vernietigd zijn danwel (mogelijk) in handen vallen van een ongeautoriseerde derde) bedrijven en overheidsinstellingen dit moeten gaan melden bij het College Bescherming Persoonsgegevens (CBP). Er moet gemeld worden als aan drie voorwaarden is voldaan:

  • Er is sprake van een inbreuk op de beveiliging van persoonsgegevens;
  • De inbreuk moet zich voordoen bij een publieke of private sector organisatie;
  • De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens, met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens, dan wel een kans daarop.

Overtreding

Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, moeten ook alle betrokkenen (degenen wiens gegevens potentieel zijn 'gelekt') worden ingelicht! Let wel, het hoeft dus geen externe “hack” te zijn, maar ook interne personen die beveiligingsmaatregelen omzeilen, een werknemer die zijn password laat slingeren, vernietiging van bestanden zonder back-up, beveiligings-maatregelen die onvoldoende blijken etc. het valt er allemaal onder. Na melding van dit datalek beoordeelt het CBP de ernst van de situatie en kan zij zelfs onmiddellijk een boete opleggen als bijvoorbeeld de overtreding opzettelijk is begaan of het gevolg is van ernstige nalatigheid. Deze boete kan oplopen tot €810.000. In de meeste gevallen zal het CBP echter volstaan met een bindende aanwijzing en pas als de overtreding blijft bestaan danwel haar instructies niet worden gevolgd, wordt een boete opgelegd. Het CPB verwacht volgend jaar tienduizenden meldingen.

''Deze wet gaat veel teweeg brengen. Organisaties dienen bijvoorbeeld een logboek bij te houden voor datalekken en de melding aan het CBP over een datalek dient ook aan allerlei vereisten te voldoen.''

Juridische begeleiding

Het is daarbij essentieel dat organisaties al bij het ontstaan van een datalek juridische begeleiding zoeken. Enerzijds omdat de boete fors kan zijn, maar ook omdat er een grote kans is op goodwill schade (uw datalek kan door het CBP bekend gemaakt worden en het schandpaal effect is des te groter wanneer u ook aan alle betrokkenen moet melden) en op administratieve fouten bij het indienen van de melding bij het CBP.

Preventieve maatregelen

Preventief dienen organisaties bovendien ook nu al hun maatregelen te nemen. Zo moet elke organisatie kunnen aantonen dat ze voldoende technische en organisatorische maatregelen hebben genomen om een datalek te voorkomen. Er moet preventief geacteerd worden maar er moet ook een draaiboek klaar liggen als er wel een mogelijk datalek is. Wist u bijvoorbeeld dat voor sommige type data een ''eenvoudige'' beveiliging met wachtwoord en gebruikersnaam al onvoldoende is en tot boetes kan leiden? Daarnaast dient u zich ervan te vergewissen dat uw leveranciers zoals cloud providers of managed services providers de contractuele plicht hebben u onmiddellijk van een "datalek" (dat begrip dient dan overeen te komen met de wettelijke definitie) op de hoogte te stellen. De meldplicht geldt namelijk voor de "verantwoordelijke" (alweer een wettelijke term), de eigenaar van de data, en melding moet binnen 2 dagen na ontdekking plaatsvinden. Dus als uw provider het u niet hoeft te melden en u krijgt een boete wat dan? Als uw organisatie een aanwijzing krijgt opgelegd komt zij bovendien voor vier jaar lang op de controlelijst van het CBP te staan. U loopt dan de kans om regelmatig door het CBP geaudit te worden en dat is een situatie die u liever voorkomt.

De Wet Meldplicht Datalekken zal binnen enkele weken van kracht worden en er is geen organisatie die dat ongemerkt aan zich voorbij kan laten gaan. Ieder bedrijf of instelling zal zich rekenschap moeten geven hoe zij met haar data omgaat en hoe deze is beveiligd.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.