Wet meldplicht datalekken en uitbreiding boetebevoegdheid CBP: 1 januari 2016 van kracht

Op 26 mei 2015 heeft de Eerste Kamer het wetsvoorstel voor de Wet meldplicht datalekken en uitbreiding boetebevoegdheid CBP aangenomen. Deze wet is 1 januari 2016 in werking treden. Dit artikel geeft een overzicht van de nieuwe verplichtingen en van de nieuwe boetebevoegdheden van de toezichthouder – die overigens verder gaat onder de naam ‘Autoriteit persoonsgegevens’.

Meldplicht datalekken (art. 34a Wbp)

Iedere verantwoordelijke in de zin van de Wbp is verplicht om bij het CBP een melding te doen van een inbreuk op de beveiliging die ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Bovendien dient de verantwoordelijke de betrokkene wiens gegevens in het geding zijn op de hoogte te stellen wanneer de inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer.

Meldingsplichtig?

De meldplicht – vastgelegd in het nieuwe artikel 34a Wbp – is alleen van toepassing bij een ‘inbreuk op de beveiliging’. Het kan gaan om inbreuk op de technische beveiliging – zoals hacken – maar ook organisatorische beveiliging. Laat een medewerker een USB-schijf met klantgegevens liggen in de trein, dan geldt dat ook als inbreuk. Ongeautoriseerd, onomkeerbaar verlies van gegevens zal evenzeer gelden als inbreuk op de beveiliging.

Moeilijker is de vraag of de inbreuk ‘ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Dit hangt af van de ‘aard en omvang van de inbreuk en de aard van de persoonsgegevens die aan onrechtmatige verwerking of inbreuk zijn blootgesteld’.[1] Bij het lekken of verloren gaan van persoonsgegevens van patiënten van een zorginstelling is er vrijwel per definitie sprake van ernstige nadelige gevolgen. Het CBP geeft aan dat een datalek waarbij gezondheidsgegevens, burgerservicenummers en andere ‘gegevens van gevoelige aard’ zijn betrokken, altijd gemeld moeten worden.

De verantwoordelijke dient de betrokkene op de hoogte te stellen indien de inbreuk “waarschijnlijk ongunstige gevolgen” heeft voor diens persoonlijke levenssfeer (lid 2). Dat zal het geval zijn indien er immateriële of financiële schade te vrezen is, zoals bijvoorbeeld reputatieschade, identiteitsfraude of discriminatie. Dat is vanzelfsprekend het geval als vertrouwelijke gezondheidsgegevens zijn gelekt.

Uitzonderingen

Het kan zijn dat de zorginstelling door omstandigheden uitgezonderd is van de meldplicht. Indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die bij de inbreuk betrokken zijn onbegrijpelijk of ontoegankelijk zijn voor onbevoegden – bijvoorbeeld door versleuteling – dan hoeft hij geen melding aan de betrokkene te maken, maar wel aan het CBP.

Termijn voor melding

Melding aan het CBP en de betrokkene dient ‘onverwijld’ te gebeuren. Volgens het CBP wil dat zeggen dat de melding aan de toezichthouder uiterlijk moet plaatsvinden op de tweede werkdag na ontdekking van het incident door de zorginstelling of door een bewerker aan wie de verwerking van persoonsgegevens is uitbesteed. Ook indien uw leverancier een lek constateert, begint de klok dus te lopen, zonder dat u daar zelf bewust van bent. Zorg dus dat u contractuele maatregelen treft met uw dienstverleners.

De melding aan degenen om wiens gegevens het gaat (bijvoorbeeld de patiënten) moet ook onverwijld plaatsvinden, maar het CBP geeft geen harde deadline. Er moet enerzijds genoeg tijd zijn om onderzoek te doen en anderzijds moeten die personen voldoende tijd hebben om eventuele maatregelen te nemen om bijvoorbeeld identiteitsfraude te voorkomen.

Inhoud van de melding

De melding aan het CBP en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken (lid 3). De verantwoordelijke geeft het CBP bovendien een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. Deze informatie moet worden gemeld middels een formulier op de website van het CBP. Melding aan individuele personen zal doorgaans per brief of email geschieden.

Uitbreiding boetebevoegdheid CBP (art. 66 Wbp)

Het CBP had een zeer beperkte mogelijkheid om boetes op te leggen. In de praktijk leidde dit ertoe dat het CBP grotendeels beroep deed op de mogelijkheid om een last onder dwangsom op te leggen. Onmiddellijke bestraffing van een overtreding was vrijwel onmogelijk. Na jarenlang een ‘tandeloze tijger’ te zijn geweest, kreeg het CBP per 1 januari 2016 de bevoegdheid om voor de meeste overtredingen van de Wbp een boete van maximaal € 810.000 of 10% van de jaaromzet op te leggen. Het CBP houdt overigens de bevoegdheid om een last onder dwangsom op te leggen.

Dit artikel is in uitgebreidere vorm ook verschenen in Bedrijfsjuridische berichten van 18 augustus 2015.

 

[1] Kamerstukken II 2014/15, 33662, nr. 6, p. 18 (NNV).

Comments are closed.