Klaar voor datalek?

Update 26 - het Interview - Januari 2016

Interview met Huub de Jong, advocaat en partner bij Louwers IP|Technology Advocaten over de meldplicht datalekken.

Wat houdt de meldplicht datalekken nu precies in?
Per 1 januari jl. zijn organisaties (zowel bedrijven als overheden) verplicht bepaalde datalekken te melden. Het gaat dan om datalekken waarbij persoonsgegevens zijn betrokken en waarbij degene die verantwoordelijk is voor de verwerking in Nederland is gevestigd. Een dergelijk datalek moet gemeld worden aan de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens) en in bepaalde gevallen ook aan de gedupeerde (betrokkene). Tegelijkertijd met de invoering van de meldplicht datalekken maakt de nieuwe wet het mogelijk dat de Autoriteit Persoonsgegevens hoge boetes op kan leggen. Deze boetes kunnen niet alleen opgelegd worden bij het niet melden van een datalek, maar ook bij andere schendingen van de Wet bescherming persoonsgegevens (Wbp) zoals de beveiligingsplicht.

Welke incidenten dienen er gemeld te worden en bij wie?
De organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens moet de Autoriteit Persoonsgegevens in kennis stellen van inbreuken op de beveiliging die ernstig nadelige gevolgen hebben voor de bescherming van persoonsgegevens of inbreuken die tot een aanzienlijke kans hierop leiden. Ook de betrokkene moet op de hoogte gebracht worden, wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor zijn persoonlijke levenssfeer. De praktische toepassing van deze wettelijke criteria zal nog niet altijd eenvoudig zijn.

Uiteindelijk zal het echter aan de rechter zijn om te bepalen of een organisatie de wet zorgvuldig heeft toegepast op dit punt

Er wordt geschreven: "De inbreuk moeten bovendien 'ernstig' zijn - en wat ernstig is, is een eigen afweging" Hoe maak je als organisatie deze afweging?
De wet heeft het niet over ‘ernstig’ maar kijkt vooral naar de gevolgen, zoals ik hierboven beschrijf. Dat maakt het nog niet eenvoudig om te bepalen waar de grens ligt tussen wat wel of niet gemeld dient te worden. Uiteindelijk zal ieder bedrijf daarin zijn eigen afweging moeten maken eventueel in samenspraak met zijn adviseurs. De Autoriteit Persoonsgegevens heeft beleidsregels gepubliceerd waarin ze aangeeft hoe de toezichthouder meent dat organisaties deze afweging moeten maken. Uiteindelijk zal het echter aan de rechter zijn om te bepalen of een organisatie de wet zorgvuldig heeft toegepast op dit punt.

Biedt de wettekst wel aanknopingspunten hiervoor?
Ja op bepaalde punten wel. Indien er passende technische beschermingsmaatregelen zijn getroffen hoeft een datalek niet gemeld te worden aan de betrokkene (wel aan de toezichthouder). Je kunt daarbij bijvoorbeeld denken aan het verlies van een usb-stick die degelijk met encryptie is beveiligd. Er moet dan wel een kopie beschikbaar zijn, want het verlies van persoonsgegevens kan ook een datalek opleveren. Om die reden dient het in beginsel bijvoorbeeld ook gemeld te worden indien een systeembeheerder per ongeluk een database met persoonsgegevens verwijdert waarvan geen kopie voorhanden is.

Een ander opvallend punt is de uitzondering voor financiële ondernemingen. Deze organisaties hoeven op basis van deze wet een datalek ook niet te melden aan de betrokkene. Een algemene meldplicht zou in de praktijk volgens de wetgever voor ongewenste situaties kunnen zorgen. Denk aan een bankrun. Financiële ondernemingen kunnen op basis van specifiek voor hen geldende regels overigens alsnog gehouden zijn een datalek te melden.

Hoe groot is de kans dat er daadwerkelijk boetes uitgedeeld gaan worden?
Dat zal de praktijk moeten uitwijzen. Aangezien de Autoriteit Persoonsgegevens een relatief kleine toezichthouder is, zullen er door de toezichthouder keuzes gemaakt moeten worden. Organisaties die veel en/of gevoelige gegevens verwerken zullen eerder het risico lopen beboet te worden. Hetzelfde geldt voor organisaties waarover geklaagd wordt bij de toezichthouder of organisaties die om een andere reden op bijzondere aandacht van de toezichthouder kunnen rekenen. Een goede beveiliging blijft uiteraard de beste remedie om de kans op boetes te verkleinen.

Wat valt er contractueel te regelen met afnemers en leveranciers?
Met afnemers en leveranciers zullen afspraken gemaakt dienen te worden over de uitvoering van de meldplicht. Dit is niet alleen verstandig, maar vaak ook wettelijk verplicht. De exacte invulling van deze afspraken is afhankelijk van de eigen capaciteit, beleid en de verdere contractuele relatie. Feitelijk vormen deze afspraken een uitbreiding op de bestaande verplichting om goede afspraken te maken over de beveiliging van persoonsgegevens met afnemers en leveranciers.

Is eventuele schade bijvoorbeeld te verhalen of verzekerbaar?
De markt die specifiek deze risico’s afdekt is nog volop in ontwikkeling. De afgelopen tijd hebben diverse verzekeraars een cybercrimeverzekering op de markt gebracht. Hoewel de polisvoorwaarden per verzekering uiteenlopen wordt veel schade die een organisatie
kan oplopen door een dergelijke verzekering gedekt. Het is zelfs niet ongebruikelijk dat de eventuele boetes die men krijgt vanwege schending van de meldplicht door de verzekeraar vergoed worden.

Welke consequenties heeft deze meldplicht concreet voor organisaties?
Voorheen hadden bedrijven meer ruimte om te bepalen of ze een datalek wilde melden aan de gedupeerden en zo ja, op welke manier. Deze ruimte is nu verregaand beperkt door de nieuwe wet, waarbij meestal ook de toezichthouder (Autoriteit Persoonsgegevens) geïnformeerd moet worden. Daarnaast kon de toezichthouder in het verleden geen boete opleggen wanneer een datalek niet werd gemeld. Per 1 januari jl. is zowel het niet melden van een datalek of het niet op orde hebben van de beveiliging van persoonsgegevens als andere schendingen van de Wbp fors gesanctioneerd met een boete tot EUR 810.000 en in uitzonderlijke situaties zelfs 10 procent van de netto-omzet.

Hoe kunnen organisaties zich het beste voorbereiden?
Een datalek gaat vaak gepaard met onrust, terwijl een gedegen en tegelijk voortvarende aanpak op zo’n moment noodzakelijk is. Wij adviseren organisaties dan ook een op maat gemaakt draaiboek klaar te hebben liggen. Door een draaiboek weet iedere medewerker die betrokken moet zijn bij het managen van het lek en de gevolgen, wat er wanneer van hem of haar verwacht wordt en welke afwegingen er gemaakt moeten worden. Ook is het nodig om de eerder genoemde contracten na te lopen. Verder kan het zinvol zijn te oefenen hoe een organisatie reageert in het geval van een incident. Cyber security experts zeggen vaak dat het meer de vraag is wanneer een organisatie gehackt wordt dan of een organisatie gehackt wordt.

Wij adviseren organisaties om een op maat gemaakt draaiboek klaar te hebben liggen

Wat vindt Louwers Advocaten van de meldplicht?
Dat zal ervan afhangen hoe de meldplicht in de praktijk vorm gaat krijgen, welke effecten deze teweegbrengt en welke opstelling de toezichthouder daarbij kiest. Op zichzelf is er niets mis met transparantie op dit punt en kan dit bijdragen aan het beoogde vertrouwen in de zorgvuldige verwerking van persoonsgegevens. Zeker wanneer organisaties besluiten om extra aandacht te schenken aan de beveiliging van de aan hen toevertrouwde persoonsgegevens om een verplichte melding van een datalek te voorkomen. Mocht het effect voor de praktijk echter zijn dat we overspoeld gaan worden met pro forma meldingen dan zou het effect weleens nihil kunnen zijn. In dat geval is het alleen een extra administratieve last voor bedrijven.

De praktijk zal nog flink moeten worstelen met de praktische implicaties van de meldplicht. De Autoriteit Persoonsgegevens noemt als voorbeeld dat een kwetsbaarheid in een webapplicatie als gevolg waarvan medische gegevens kunnen worden ingezien gemeld dient te worden aan de toezichthouder. Ook hanteren ze als vuistregel dat het lekken van gevoelige persoonsgegevens aan de betrokkene gemeld dient te worden. Betekent dit nu tezamen dat iedere SQL-injectie kwetsbaarheid die door een ethische hacker gevonden wordt in een portal waar gevoelige persoonsgegevens worden verwerkt aan de betrokkene gemeld dient te worden volgens de Autoriteit Persoonsgegevens, tenzij kan worden aangetoond dat hiervan geen misbruik is gemaakt? Dat zou nogal wat consequenties hebben voor de praktijk. We zullen de komende tijd ongetwijfeld nog interessante vragen krijgen van cliënten.

Schematisch overzicht meldplicht datalekken

Het onderstaande schema geeft de vragen weer die u moet beantwoorden om vast te stellen of u een specifiek datalek moet melden aan de betrokkenen. Iedere vraag uit het schema correspondeert met een paragraaf uit het document “Beleidsregels meldplicht datalekken voor toepassing van artikel 34a van de Wbp” dat in december 2015 door de Autoriteit Persoonsgegevens is gepubliceerd. Deze en andere publicaties over de beveiliging van persoonsgegevens en over de meldplicht datalekken vindt u op de website van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl.

schematisch overzicht meldplicht datalekken

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa