Het wordt vanaf 1 januari 2016 wettelijk verplicht om datalekken te melden. Ieder verlies, diefstal of onbevoegd gebruik van persoonsgegevens telt als een datalek, dus niet alleen grootschalige inbraak. En dat is nog niet alles.
Wie straks data lekt, of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, loopt kans op boetes die kunnen oplopen tot 810.000 euro of 10 procent van de jaaromzet per overtreding. Wat betekent dit voor uw bedrijf? Tien vragen en antwoorden van ICTRecht's Lisette Meij.
Tekst: Lisette Meij
1. Wat is een datalek?
De wet spreekt van een datalek als persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. Kortom: een vrij brede definitie.
Van een datalek is dus niet alleen sprake bij een hacker die toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld), telt al als datalek. En zelfs verlies van gegevens zoals bij een brand in het datacentrum, terwijl er geen back-up beschikbaar is, ziet de wet als een datalek.
U dient als bedrijf preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen. Dit kan bijvoorbeeld door gebruik te maken van encryptietechnieken. Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, zijn geen datalekken. Als de broncode van uw nieuwe software wordt ontvreemd, of een lijst met bedrijfsnamen uit uw relatiebeheerpakket wordt gekopieerd, dan valt dat bijvoorbeeld buiten het bereik van deze wet.
2. Wanneer moet u een datalek melden aan de toezichthouder?
Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken binnen twee werkdagen bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie:
• inloggegevens
• financiële gegevens
• kopieën van identiteitsbewijzen
• school- of werkprestaties
• gegevens die betrekking hebben op levensovertuiging
• gegevens die betrekking hebben op gezondheid
3. Wanneer moet u een datalek melden aan de getroffen personen?
Indien het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, dient u, naast de melding aan de toezichthouder, het lek tevens binnen twee werkdagen te melden aan de personen waarvan de gegevens zijn gelekt. Dit zullen in de meeste gevallen klanten zijn. Ongunstige gevolgen zijn bijvoorbeeld:
• identiteitsfraude
• discriminatie
• reputatieschade
Wanneer kwantitatief ernstige gegevens (zie vorige vraag) zijn gelekt, is eigenlijk altijd sprake van een ongunstig gevolg. Dit moet dus ook altijd worden gemeld aan de getroffen personen.
4. Wanneer hoeft u een datalek niet te melden?
Een datalek dat aan het criterium van vraag 2 voldoet, moet u altijd melden aan de toezichthouder. Daarbij doet het er niet toe of het datalek door een fout kwam of het gevolg van overmacht was. Een datalek hoeft echter niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop. U moet er dan wel zeker van zijn dat niemand de gegevens in heeft kunnen zien. U draagt hiervoor de bewijslast.
De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/of de getroffen personen ligt te allen tijde bij u. Echter, maakt u een onjuiste inschatting dat er geen melding nodig is, dan kunt u ook dáárvoor op de vingers getikt worden.
5. Hoe dient u een datalek te melden?
De toezichthouder zal een standaardformulier beschikbaar stellen voor het melden van een datalek. Bij een datalek moet dus dit formulier ingevuld worden. Dit formulier zal vervolgens opgeslagen worden in een register van de toezichthouder, dat niet openbaar is. Mocht er naar aanleiding van het lek een boete opgelegd worden, dan zal dit besluit wel openbaar zijn. Een datalek wordt vanzelfsprekend ook openbaar op het moment waarop het aan de getroffen personen wordt medegedeeld.
6. Welke informatie moet u over een datalek bewaren?
Wanneer u een datalek aan de toezichthouder meldt, dient u een overzicht hiervan in uw administratie te bewaren. Dit overzicht moet de feiten en gegevens van het lek bevatten. Denk hierbij aan de oorzaak van het lek, de soort gegevens die gelekt zijn, het moment dat het lek is ontdekt en op welke wijze het lek gedicht is. Als u het datalek ook aan de getroffen personen heeft gemeld, is het belangrijk de communicatie hierover te bewaren. Voor het bewaren van de voornoemde gegevens dient u uit te gaan van een minimale bewaartermijn van één jaar. Maak hierover ook afspraken met de bewerker, zie hiervoor vraag 8.
7. Wat zijn de gevolgen van de wet?
De wet kent vanaf 1 januari 2016 de mogelijkheid om boetes op te leggen wanneer niet voldaan wordt aan de wet. Deze boete kan onder meer opgelegd worden voor:
• het niet melden van een datalek terwijl dat wel moet
• het niet op orde hebben van de beveiliging
• het verwerken van persoonsgegevens zonder toestemming
• export van persoonsgegevens naar landen buiten de EU zonder dat goed geregeld te hebben
De boete kan oplopen tot 810.000 euro of 10 procent van de jaaromzet. Vaak zal er eerst een waarschuwing volgen, maar de toezichthouder mag besluiten direct een boete op te leggen als u opzettelijk of grof nalatig heeft gehandeld.
8. Moet een bewerker datalekken melden?
In veel gevallen wordt het verwerken van persoonsgegevens uitbesteed aan een derde partij. Deze derde partij noemt de wet een bewerker. Data kan bijvoorbeeld toegankelijk zijn voor een cloud-dienstverlener die updates uitvoert op software, opgeslagen staan bij een hosting-provider, of beschikbaar zijn voor het marketingbedrijf dat e-mails in opdracht van klanten verzendt. Een bewerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de bewerker er zorg voor dragen dat zijn klanten deze melding tijdig bij de toezichthouder kunnen maken. Er zullen daarom schriftelijke afspraken moeten worden gemaakt, waarin wordt vastgelegd op welke wijze de klanten door de bewerker op de hoogte worden gesteld van een datalek. Deze afspraken kunnen worden opgenomen in een bewerkersovereenkomst.
Let op: bent u bewerker en zijn bij een datalek ook gegevens met betrekking tot uw eigen klantadministratie gelekt, dan zult u ook zelf een melding van het lek moeten maken. U bent daar dan immers zelf verantwoordelijk voor.
9. Wat kunt u doen ter voorbereiding op de meldplicht?
Goed voorbereid zijn op de meldplicht datalekken? Onderneem dan de volgende acties:
• Inventariseer wie uw gegevens verwerken en of hiermee een bewerkersovereenkomst is gesloten
• Update uw bewerkersovereenkomsten met een bepaling omtrent datalekken
• Sluit met iedere partij waarmee u samenwerkt een NDA (non-disclosure agreement) waarin u persoonsgegevens benoemt
• Controleer hoe de bedrijven die voor u persoonsgegevens verwerken, persoonsgegevens opslaan. Gebeurt dit veilig? Controleer dit uiteraard ook binnen uw eigen bedrijf
• Als bedrijven zeggen gecertificeerd te zijn (bijvoorbeeld ISO 27001), vraag dan naar de scope van deze certificering
• Ga na bij uw verzekeraar of verzekeringstussenpersoon of u verzekerd bent tegen het lekken van persoonsgegevens (een cyberrisico verzekering)
• Hanteer intern een procedure voor de omgang met, en melding van, datalekken
10. Procedure meldplicht datalekken
Zijn er gegevens gelekt en wilt u snel en overzichtelijk zien wat de procedure voor het melden van een datalek is? Zie de volgende pagina voor de beslisboom voor het melden van datalekken.
Lisette Meij is juridisch adviseur bij ICTRecht.
Interessant artikel!