10 mei 2016 | Algemeen

Meldplicht datalekken. Nederland als voorbeeld voor België?

Door Jubel

Recente vacatures

Advocaat
Ondernemingsrecht Vennootschapsrecht
3 - 7 jaar
Antwerpen Limburg Vlaams-Brabant Waals-Brabant
Advocaat
Ondernemingsrecht Vennootschapsrecht
0 - 3 jaar
Antwerpen Limburg Vlaams-Brabant Waals-Brabant
Advocaat
Douane
0 - 3 jaar
Antwerpen
Paralegal
Arbeidsrecht Vennootschapsrecht
0 - 3 jaar
Brussel
Advocaat
Arbeidsrecht
5 - 10 jaar
Brussel

Aankomende events

Opgelet: dit artikel werd gepubliceerd op 10/05/2016 en kan daardoor verouderde informatie bevatten.

In januari van dit jaar werd de meldplicht datalekken in Nederland ingevoerd. Kort gezegd houdt deze meldplicht in dat wanneer er sprake is van een datalek, hiervan direct een melding moet worden gemaakt bij de Autoriteit Persoonsgegevens. Afhankelijk van de ernst van het lek en de aard van de gegevens moet het lek ook worden gemeld aan de betrokkene(n) (de personen om wiens persoonsgegevens het gaat). Nederland is hiermee koploper wat betreft de bescherming van persoonsgegevens en privacy: misschien een voorbeeld voor ons land? Inmiddels is de meldplicht bij onze Noorderburen al ruim vier maanden een feit, een goed moment voor een eerste evaluatie.

De meldplicht datalekken is een stukje Nederlandse wetgeving en verplicht bedrijven en overheden melding te maken wanneer er sprake is van een datalek. Van een datalek is sprake wanneer er toegang tot, of vernietiging of wijziging van persoonsgegevens is, of wanneer persoonsgegevens vrijkomen zonder dat dit de bedoeling is geweest van een organisatie. Let op, er is een verschil tussen een beveiligingslek en een datalek. Van een beveiligingslek is sprake wanneer er een zwakke plek in de beveiliging zit. Is er ondanks die zwakke plek geen sprake van verloren gegane of onterecht beschikbaar gekomen persoonsgegevens, dan hoeft er geen melding gemaakt te worden.

Wanneer het wel om een geval gaat waarbij melding verplicht is, dan moet deze melding zo snel mogelijk en in ieder geval binnen 72 uur worden gedaan bij de Autoriteit Persoonsgegevens (AP).  Of er ook aan de betrokkene gemeld moet worden, hangt af van de gegevens die zijn gelekt. Indien het om bijzondere persoonsgegevens gaat kan er vanuit worden gegaan dat ook de betrokkene moet worden ingelicht. Wanneer de persoonsgegevens echter op dusdanige wijze zijn beveiligd dat ze voor een derde niet toegankelijk zijn (door bijvoorbeeld hashing of encryptie) dan hoeft de betrokkene niet geïnformeerd te worden.

Boete

De boetebevoegdheid van de AP is sinds 2016 uitgebreid. Wanneer een datalek niet gemeld wordt, kan de AP een boete opleggen. Het maximale bedrag is 820.000 euro of  10%  van de jaaromzet. De boetebevoegdheid geldt ook bij het overtreden van de andere regels uit de Wet bescherming persoonsgegevens bijvoorbeeld wanneer geconstateerd wordt dat gegevens op onjuiste gronden zijn verwerkt (art. 8 Wbp), wanneer de verwerking van persoonsgegevens niet in overeenstemming is met het doel waarvoor ze verzameld zijn (art. 9 Wbp) of wanneer er niet gezorgd is voor adequate beveiliging van de persoonsgegevens (art. 13 Wbp). De hoogte van de boete zal afhankelijk van de zwaarte van de overtreding worden bepaald.

Europese privacy verordening

Hoewel de meldplicht datalekken nu enkel nog in de Nederlandse wetgeving is opgenomen, maakt een dergelijke meldplicht ook onderdeel uit van de Europese Privacy Verordening die naar verwachting in 2018 in werking zal treden. De beleidsregels betreffende de meldplicht datalekken zullen in de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe geeft, worden geëvalueerd en waar nodig worden aangepast. In de ruim 4 eerste maanden na invoering zijn er 1400 meldingen binnen gekomen bij de AP. Twee derde daarvan wordt door de toezichthouder nader bekeken. Dat er datalekken zijn, is daarmee wel bewezen. Al denkt de AP niet dat alle datalekken nu al gemeld worden.

Dat er meldingen binnen komen is op zich goed nieuws. Hoewel datalekken op zich natuurlijk geen reden zijn om te juichen, is het goed dat organisaties bewust zijn van de meldplicht en de boete die hen bij niet-melden boven het hoofd hangt. Een logisch gevolg zal zijn dat organisaties op zoek gaan naar manieren om op de juiste wijze met persoonsgegevens om te gaan, passende beveiligingsmaatregelen te nemen en voorzorgsmaatregelen nemen voor het geval het dan toch mis gaat.

De meldplicht datalekken en de bijbehorende boetebevoegdheid lijkt organisaties de goede kant op te pushen en hen te dwingen persoonsgegevens op de juiste wijze te verwerken en te beveiligen en actie te ondernemen wanneer het toch mis gaat, door middel van een melding aan de toezichthouder en in sommige gevallen ook de betrokkene. Het is aan de AP nu ook door te pakken en boetes uit te delen aan bedrijven die zich aan hun meldplicht onttrekken. De aankomende maanden zullen er interessante precedenten geschept worden. Wij volgen ze uiteraard op de voet.

Wenst u meer informatie? Neem contact op met deJuristen!

Recente vacatures

Advocaat
Ondernemingsrecht Vennootschapsrecht
3 - 7 jaar
Antwerpen Limburg Vlaams-Brabant Waals-Brabant
Advocaat
Ondernemingsrecht Vennootschapsrecht
0 - 3 jaar
Antwerpen Limburg Vlaams-Brabant Waals-Brabant
Advocaat
Douane
0 - 3 jaar
Antwerpen
Paralegal
Arbeidsrecht Vennootschapsrecht
0 - 3 jaar
Brussel
Advocaat
Arbeidsrecht
5 - 10 jaar
Brussel

Aankomende events

Blijf op de hoogte

Schrijf je in voor de nieuwsbrief

0 Reacties

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.