Legal

Wet meldplicht datalekken komt eraan

Mr. Jan van Ederen Mr. Jan van Ederen

Op 1 januari a.s. treedt de Wet meldplicht datalekken in werking. Wat betekent dit voor uw organisatie?

Verwerking van persoonsgegevens van bijvoorbeeld klanten en medewerkers mag, volgens de Wet bescherming persoonsgegevens (Wbp), alleen op basis van toestemming of een andere wettelijke grond. Mits wordt voldaan aan de overige wettelijke vereisten.

Om tot een betere bescherming van persoonsgegevens te komen, zijn organisaties vanaf 1 januari 2016 verplicht datalekken te melden.

Definitie datalek

Met 'datalek' bedoelt de wet iedere inbreuk op de beveiliging van persoonsgegevens. Voorbeelden hiervan zijn niet alleen een hack van een ICT-systeem dat persoonsgegevens bevat, maar ook het verlies van een USB-stick met persoonsgegevens, het per abuis versturen van bestanden met persoonlijke gegevens en de diefstal van een laptop of mobiele telefoon.

Er worden twee meldplichten geïntroduceerd:

  • een datalek moet worden gemeld aan het College Bescherming Persoonsgegevens (CBP) zodra het een kans oplevert op ernstige nadelige gevolgen.
  • En moet aan de personen over wie de gegevens gaan een melding worden gedaan, als het datalek waarschijnlijk “ongunstige gevolgen heeft voor de persoonlijke levenssfeer”.

Uitbreiding boetebevoegdheden CBP

In deze nieuwe wet worden ook de boetebevoegdheden van het CBP aanzienlijk verruimd. Waar de privacy-toezichthouder nu nog een maximale boete kan opleggen van 4.500 euro, kan met ingang van 1 januari 2016 de maximale boete 810.000 euro of 10 procent van de jaaromzet van de rechtspersoon bedragen.

Wat kunt u doen?

  • Maak binnen uw organisatie kenbaar dat de meldplicht eraan komt.
  • Stel een intern protocol op met spelregels (wanneer moet worden gemeld, wie moet melden, etc.).
  • Bewerkersovereenkomst: de Wbp legt aan organisaties die persoonsgegevens door anderen laten verwerken - bijvoorbeeld in de cloud - de verplichting op een zogenaamde bewerkersovereenkomt aan te gaan. Het is van belang deze overeenkomsten op te stellen of aan te passen aan de nieuwe meldplicht en met dienstverlener(s) te regelen hoe in de praktijk met een datalek en de wettelijke meldplicht wordt omgegaan.
  • Maak in uw ICT-overeenkomsten afspraken met de leverancier over datalekken.

Vooruitlopen op Algemene Verordening Gegevensbescherming

Met de nieuwe meldplicht loopt Nederland vooruit op de Algemene verordening gegevensbescherming (Avg), de nieuwe EU-verordening die in de toekomst in alle lidstaten de nationale persoonsgegevenswetten vervangt (ook de Wbp). De Avg zal eveneens een meldplicht bevatten en leiden tot aanzienlijk meer verplichtingen voor het bedrijfsleven en hogere boetes. Het is raadzaam uw organisatie hier nu al op voor te bereiden.

Voor vragen over de meldplicht datalekken kunt u vrijblijvend contact opnemen met onze bedrijfsjuridisch adviseurs Micha Groeneveld, Tessa Viragh of Jan van Ederen.