Sinds 1 januari 2016: verplichting melden datalek

Op grond (van artikel 13) van de Wet bescherming persoonsgegevens (Wbp) dienen organisaties (bedrijven én overheden) de persoonsgegevens die zij verwerken te beveiligen tegen verlies en tegen onrechtmatige verwerking. Sinds 1 januari 2016 is de Wbp gewijzigd en dienen organisaties onverwijld een melding te doen bij de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens) zodra zij een ernstig datalek hebben waarbij persoonsgegevens verloren zijn gegaan.

Soms moet het datalek ook gemeld worden aan degene van wie de persoonsgegevens zijn gelekt. De meldplicht is opgenomen in artikel 34a Wbp. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld voor de toepassing van de meldplicht. Om forse boetes te voorkomen, is het van belang dat u weet in welke gevallen u een datalek moet melden. In deze blog geef ik antwoord op de vragen: “Wat is een datalek?”, “Wanneer moet ik een datalek melden?” en “Wat is de rol van de Autoriteit Persoonsgegevens?”

Wat is een datalek?

Artikel 34a Wbp omschrijft een datalek als een inbreuk in de beveiliging bedoeld in artikel 13 Wbp. Deze beveiliging kan bestaan uit preventieve maatregelen, detectieve maatregelen, repressieve maatregelen en herstelmaatregelen. Een inbreuk op de beveiliging (datalek) houdt in dat zich daadwerkelijke een beveiligingsincident heeft voorgedaan. Er is geen sprake van inbreuk op de beveiliging indien er uitsluitend sprake is van een dreiging of van een tekortkoming in de beveiliging (beveiligingslek) dat zou kunnen leiden tot een beveiligingsincident.

Voorbeelden van datalekken zijn een kwijtgeraakte USB-stick, een gestolen tablet, het hacken van een server, maar ook brand in een datacentrum.
Kenmerkend voor een datalek is verder dat er daadwerkelijke gevolgen zijn voor de persoonsgegevens die u verwerkt: deze zijn verloren gegaan of onrechtmatig verwerkt (aantasting, onbevoegde kennisneming, wijziging of verstrekking van persoonsgegevens). Ook wanneer u redelijkerwijs niet kunt uitsluiten dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt, is er sprake van een datalek.

Wanneer moet ik een datalek melden?

U moet een datalek melden aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a lid 1 Wbp). Het is aan u om te bepalen of een door u ontdekt datalek binnen de reikwijdte van de meldplicht datalekken valt.

Bij de beantwoording van de vraag of er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van verwerkte persoonsgegevens dient u in ieder geval de aard van de getroffen gegevens te betrekken. Wanneer het bijvoorbeeld gaat om een datalek van bijzondere persoonsgegevens (godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke gegevens (artikel 16 Wbp)) of andere gegevens van gevoelige aard (o.a. gegevens over de financiële of economische situatie, inloggegevens, kopieën van legitimatiebewijzen, BSN) dan zal al snel sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

Naast de aard van de gegevens speelt ook de omvang van de inbreuk een belangrijke factor bij het bepalen van de gevolgen van het datalek. Is het datalek bovendien het gevolg van een hack dan zal er al snel sprake zijn van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dit is ook het geval wanneer er sprake is van een datalek van gegevens van mensen in kwetsbare groepen.

In sommige gevallen moet het datalek ook gemeld worden aan degene van wie persoonsgegevens zijn gelekt (de betrokkene). U moet hiervoor een aparte afweging maken. U hebt een meldplicht aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a lid 2 Wbp). Als er persoonsgegevens van gevoelige aard zijn gelekt (zie hiervoor), kunt u er in beginsel van uitgaan dat u het datalek aan de betrokkene moet melden. Deze meldplicht bestaat niet indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de betreffende persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden (artikel 34a lid 6 Wbp).

Als de Wbp niet van toepassing is, dan is de meldplicht datalekken uit de Wbp uiteraard ook niet van toepassing. Dit is bijvoorbeeld het geval als u voor uitsluitend persoonlijke of huishoudelijke doeleinden persoonsgegevens verwerkt (artikel 2 Wbp). Andere uitzonderingen op de meldplicht bestaan voor aanbieders van openbare elektronische communicatiediensten en voor financiële ondernemingen als bedoeld in de Wet op het financieel toezicht (artikel 34a, leden 9 en 10 Wbp).

Wat is de rol van de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens houdt een (niet openbaar) register bij van de ontvangen datalekken. Als uit de ontvangen datalekmeldingen blijkt dat de beveiliging van persoonsgegevens mogelijk niet adequaat is, dan kan dat aanleiding zijn voor nader onderzoek naar de naleving van de beveiligingsverplichtingen uit de Wbp. Bij overtreding van de Wbp (waaronder artikel 34a), kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen van (inmiddels) maximaal € 820.000,- (artikel 66 Wbp). Indien er geen sprake is van opzet of ernstige verwijtbare nalatigheid, zal eerst een bindende aanwijzing worden gegeven.


Heeft u een vraag over dit onderwerp of bent u bent benieuwd wat wij voor u kunnen betekenen? Neem dan gerust contact op.

Gerelateerde blogs

Nabootsing!

Bekijk alle blogberichten

Zo kan het dus ook

Waarom Omnius?

Rechtzoekenden verwachten transparantie, servicegerichtheid en duidelijkheid over tarieven. Omnius voldoet aan die behoeften en maakt de juridische dienstverlening voor een brede groep ondernemers en particulieren toegankelijk.

Om u te voorzien van het beste advies werkt Omnius volgens de formule van trapsgewijze juridische hulp. Eerst legt u de hulpvraag kosteloos en vrijblijvend voor aan de intakebalie. Dat kan zeven dagen per week. Samen zoeken we naar het beste antwoord op uw vraag. Soms volstaat een digitale oplossing. Een andere keer is het beter om een advocaat in te schakelen. Verwacht altijd duidelijkheid over afspraken en tarieven.

  • 7 dagen per week bereikbaar

    Ook ’s avonds en in het weekend
  • Omnius Keurmerk

    Uw garantie voor service en kwaliteit
  • Juridische hulp in elke situatie

    Van eerstelijns advies tot bijstand van een gespecialiseerde advocaat
  • Overal in Nederland

    Het grootste juridische netwerk van Nederland met 350 advocaten
  • Als beste beoordeeld

    Op basis van 1784 beoordelingen van door ons geholpen rechtzoekenden

Over ons

Met onze vooruitstrevende diensten en digitale oplossingen willen we het verschil maken in de – soms nog ouderwetse – juridische branche. De Omnius-formule heeft ervoor gezorgd dat we zijn uitgegroeid tot het grootste en meest succesvolle advocatennetwerk van het land.

In totaal hebben 260 advocaten en 80 kantoren zich bij ons aangesloten. Om de kwaliteit te waarborgen en de rechtzoekende ervan te verzekeren dat we onze beloftes nakomen, hebben we het Omnius Keurmerk in het leven geroepen. Het hoofdkantoor is te vinden in Utrecht, waar zo’n 45 medewerkers hun best doen om u te voorzien van de beste juridische hulp.

Er zijn advocaten gevonden.

Klik hier voor de resultaten.