< terug naar overzicht

Op 1 januari 2016 treedt de Wet meldplicht datalekken en de uitbreiding bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens (Cbp) in werking. De wet introduceert een meldplicht voor datalekken in de Wet bescherming persoonsgegevens (Wbp). Daarnaast worden de boetebevoegdheden van het Cbp (vanaf 1 januari 2016 de ‘Autoriteit persoonsgegevens’) uitgebreid. 

Datalekken

Met de Wet meldplicht datalekken wordt een nieuwe verplichting aan de Wbp toegevoegd. Bij iedere inbreuk op de maatregelen ter beveiliging tegen het verlies of de onrechtmatige verwerking van persoonsgegevens moet een melding worden gemaakt bij de Autoriteit persoonsgegevens. Bovendien moet de betrokkene worden geïnformeerd.

Bij een inbreuk kan worden gedacht aan een hack of een technisch falen, maar ook aan verlies van een usb-stick of diefstal van een laptop waarop persoonsgegevens staan. Zelfs het kwijtraken van een geprinte lijst met persoonsgegevens kan kwalificeren als een datalek. Het gaat om iedere situatie waarbij derden die geen toegang hebben tot persoonsgegevens, deze informatie toch in handen krijgen. De meldplicht geldt echter alleen als de inbreuk leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. 

Verantwoordelijke meldplicht

De meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens bij zowel bedrijven als de overheid. Is de gegevensverwerking uitbesteed aan een derde partij, dan is deze partij de bewerker van de gegevens en niet als zodanig gehouden aan de meldplicht.

Melding

Een melding bij de toezichthouder moet ten minste de aard van de inbreuk beschrijven, welke gevolgen de inbreuk heeft en ook welke maatregelen er zijn en / of worden genomen om de negatieve gevolgen van de inbreuk te beperken.

Voor informatie aan de betrokkene geldt dat dit op zodanige wijze moet worden gedaan, dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. De verantwoordelijke is bovendien verplicht om een overzicht bij te houden van alle inbreuken. 

Boetebevoegdheid

Indien niet wordt voldaan aan de meldplicht kan de Autoriteit persoonsgegevens vanaf 1 januari 2016 bestuurlijke boetes opleggen. Als een overtreding van de Wbp niet opzettelijk of door ernstig verwijtbare nalatigheid is begaan, legt de toezichthouder eerst een bindende aanwijzing op. De verantwoordelijke krijgt hiermee de gelegenheid om de overtreding weg te nemen door alsnog passende beveiligingsmaatregelen te nemen. Het niet naleven van een bindende aanwijzing kan bestraft worden met een boete. Wordt de Wbp opzettelijk overtreden, dan kan dit direct tot een boete leiden. 

Doel

Het doel van de meldplicht is om de gevolgen van een datalek voor de betrokken zoveel mogelijk te beperken en hiermee een bijdrage te leveren aan het behoud en herstel van het vertrouwen in de omgang met persoonsgegevens. 

Gevolgen voor u als ondernemer

Om het doel van de wetswijziging te realiseren is het voor ondernemers van belang de bescherming van persoonsgegevens op orde te hebben. Indien zich toch een datalek voordoet, moet een melding onverwijld worden gedaan. In de praktijk betekent dit zo snel als mogelijk, waardoor het vaak niet meer mogelijk is om op dat moment nog een draaiboek te maken. Het is daarom aan te raden een intern protocol vast te stellen waarin de handelswijze bij een datalek staat beschreven. Bovendien is het verstandig om met de bewerkers van de gegevens een (nieuwe) bewerkingsovereenkomst te sluiten waarin per 1 januari 2016 een contractuele meldplicht aan de verantwoordelijke is opgenomen.

Hebt u vragen over dit onderwerp, dan kunt u contact opnemen met ons kantoor op nummer 010-209 2777 of per e-mail info@lvh-advocaten.nl.