Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid College bescherming persoonsgegevens

Bij een datalek gaat het om persoonsgegevens die in handen vallen van derden, die geen toegang tot die gegevens zouden mogen hebben.[1] Voorbeelden van datalekken zijn een gestolen laptop of een inbraak in een databestand door een hacker, waarbij de beveiliging weliswaar op zich van voldoende niveau is, maar waar de beveiligingsmaatregelen zijn omzeild. Daarnaast kan sprake zijn van een tekortschietende beveiliging, bijvoorbeeld als bestanden niet goed zijn beveiligd of als er menselijke fouten zijn gemaakt, zoals het slordig omgaan met wachtwoorden en het kwijt raken van een USB-stick met persoonsgegevens.

Op 1 januari 2016 treedt het aangenomen wetsvoorstel ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid College bescherming persoonsgegevens’ in werking.[2] Dit wetsvoorstel heeft geleid tot diverse wijzigingen in de Wet bescherming persoonsgegevens en de Telecommunicatiewet. De veranderingen hebben grote consequenties voor organisaties die persoonsgegevens bewaren van bijvoorbeeld hun klanten, patiënten, leden, etc.

De belangrijkste veranderingen zijn de meldplicht en de verruimde boetebevoegdheid van het College bescherming persoonsgegevens:

1. Meldplicht [3]
Zowel private als publieke organisaties die persoonsgegevens (laten) verwerken worden met ingang van 1 januari 2016 verplicht om (ernstige) inbreuken op de beveiliging (zgn. datalek), die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens te melden. Dat zijn dus meer organisaties dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet reeds een meldplicht geldt bij diefstal, verlies of misbruik van persoonsgegevens van abonnee of gebruiker.

Een eventuele meldplicht staat los van de vraag of de gehanteerde beveiligingsmaatregelen voldoende zijn geweest. De meldplicht is vooral bedoeld om tot een betere bescherming van persoonsgegevens te komen, de nadelige gevolgen van een datalek binnen de perken te houden en het vertrouwen van het publiek in de omgang met persoonsgegevens te behouden.

Een datalek moet worden gemeld aan het College bescherming persoonsgegevens zodra het een kans oplevert op nadeel voor de bescherming van persoonsgegevens.[4] Vervolgens moet ook aan de personen over wie de gegevens gaan een melding worden gedaan, als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de privacy van die personen. Ook indien er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, moet het datalek dus worden gemeld. De wetgever heeft aangegeven dat van dit laatste bijvoorbeeld in de volgende situatie sprake is: een derde partij heeft toegang gekregen tot een database met inlognamen en bijhorende onleesbaar gemaakte wachtwoorden van een website van een telefoonbedrijf, waarbij het mogelijk is dat bepaalde wachtwoorden achterhaald kunnen worden. Op deze website kunnen klanten inloggen om hun financiële- en belgegevens te kunnen zien.

Een organisatie heeft de plicht een overzicht bij te houden van alle lekken die ernstig genoeg waren om aan de toezichthouder te moeten melden.[5]

Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens beveiligen. Deze wet geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. Overigens dienen zij niet alleen naar de techniek te kijken, maar ook naar hoe zij als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang? Tot welke gegevens? En wat is daarover vastgelegd?

2. Boetebevoegdheid
Verder kan het College bescherming persoonsgegevens in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Dit College mag op dit moment alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Vanaf 1 januari 2016 is dat ook mogelijk bij schending van meer algemene verplichtingen, die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer en/of gebruik van persoonsgegevens slecht is georganiseerd, of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.[6] De boetebevoegdheid ziet dus niet alleen op datalekken, maar op alle formele en materiële verplichtingen voor de verantwoordelijke die in de Wet bescherming persoonsgegevens staan, zoals de doelbinding, de rechtmatige grondslag voor verwerking, de kwaliteit van de gegevens, de informatieplichten aan de betrokkenen en de beveiliging van de persoonsgegevens.

Datalek en bewerkersovereenkomst
Voor de praktijk is relevant dat met ingang van 1 januari 2016 alle bewerkersovereenkomsten aan de meldplicht datalekken aangepast moeten zijn.

Een bewerkersovereenkomst of data processing agreement (DPA) is een overeenkomst die wordt gesloten tussen de ‘verantwoordelijke’ en de ‘bewerker’, waarin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. De verantwoordelijke (controller) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens [7] vaststelt. De bewerker (processor) is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen, dus bijvoorbeeld:
• een bedrijf dat persoonsgegevens van werknemers van een klant bijhoudt voor de salarisadministratie van die klant,
• een bedrijf dat persoonsgegevens van klanten van een webshop bijhoudt voor de bezorging van consumentenproducten voor die webshop,
• een bedrijf dat de persoonsgegevens van patiënten van ziekenhuizen, apotheken, huisartsen of andere zorgpartijen bijhoudt voor facturering aan, bezorging van medicijnen, informatievoorziening/communicatie met of onderzoek naar die patiënten.

Als een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, is een bewerkersovereenkomst verplicht. Dit geldt ook als de bewerker bijvoorbeeld een dochteronderneming van het verantwoordelijke bedrijf is of in het buitenland gevestigd is. Steeds wanneer een verantwoordelijke het verwerken van persoonsgegevens ‘uitbesteedt’, is een schriftelijke overeenkomst vereist.

Onderwerpen die in een bewerkersovereenkomst opgenomen dienen te zijn:
a. de bewerking dient te geschieden volgens de instructies van de verantwoordelijke;[8]
b. geheimhoudingsbeding voor de bewerker ;[9]
c. beveiligingsmaatregelen ;[10]
d. een regeling over het inschakelen van derden/onderaannemers ;[11]
e. onderzoek/audit ter zake van de nakoming van de verplichting in de bewerkersovereenkomst ;[12]
f. onderlinge aansprakelijkheidsverdeling .[13]

Per 1 januari 2016 moet iedere organisatie die het verwerken van persoonsgegevens ‘uitbesteedt’, in de bewerkersovereenkomst dus ook geregeld hebben op welke wijze met een datalek én de meldplicht wordt omgegaan, bijvoorbeeld welke beveiliging de bewerker zal toepassen. Het standaard ‘modelletje bewerkersovereenkomst’ gevonden op internet voldoet niet (meer).
[1]. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. In de Memorie van Antwoord geeft de wetgever voorbeelden (niet limitatief) van datalekken die leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Zo noemt hij de omstandigheid waarbij er vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. Deze laptops bevatten gevoelige gegevens over de gezondheid, welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Daarnaast is het voorbeeld genoemd dat een medewerker van een internetprovider zijn logingegevens aan een derde partij heeft gegeven die daardoor nagenoeg onbeperkt bij alle klantgegevens (meer dan 100.000) kon komen.
[2]. https://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en
[3]. Art. 34a Wet bescherming persoonsgegevens.
[4]. De meldplicht houdt in ieder geval is dat er een lek is (geweest), wat de (mogelijke) oorzaak was, wat de (bekende/mogelijke) gevolgen zijn en een voorstel voor een oplossing.
[5]. Art. 34a lid 8 Wet bescherming persoonsgegevens “De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.”.
[6]. Aldus https://www.rijksoverheid.nl/actueel/nieuws/2015/07/10/meldplicht-datalekken-en-uitbreiding-boetebevoegdheid-cbp-1-januari-2016-van-kracht
[7]. Naam, adres, bankrekeningnummer, geboortedatum, etc.
[8]. De bewerker mag de persoonsgegevens alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
[9]. De bewerker krijgt een geheimhoudingsplicht opgelegd, waarbij een ‘kettingbeding’ (dat de bewerker een zelfde beding oplegt aan diens personeel) is aan te raden.
[10] De verantwoordelijke is verantwoordelijk voor het feit dat de bewerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens te beveiligen tegen verlies e.d.
[11]. Een regeling of, en onder welke voorwaarden, de bewerker ‘sub’-bewerkers mag inschakelen.
[12]. De verantwoordelijke moet kunnen controleren of de bewerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde.
[13]. De wet bepaalt dat de verantwoordelijke kan worden aangesproken door iemand die schade lijdt doordat de Wet bescherming persoonsgegevens niet wordt nageleefd.