De nieuwe Meldplicht Datalekken - Beware and prepare

Op 1 januari 2016 is de algemene Meldplicht Datalekken in werking getreden. U moet daardoor bepaalde beveiligingsincidenten in uw organisatie bij de toezichthouder melden. Er is sprake van een datalek als er daadwerkelijk persoonsgegevens (zoals klantgegevens of werknemersgegevens) verloren zijn gegaan of in handen van onbevoegden zijn gekomen door een zogenaamd beveiligingsincident. Daarvan is bijvoorbeeld sprake als een medewerker een USB-stick met klantgegevens heeft verloren, als er een malware-besmetting van uw computersysteem is of als uw systeem is gehackt. Een datalek kan zich overigens ook voordoen als u op zich voldoende beveiligingsmaatregelen tegen een lek heeft genomen.

Niet ieder datalek hoeft gemeld te worden. Dat moet alleen als er gegevens van gevoelige aard zijn gelekt (zoals gezondheidsgegevens, inloggegevens en onversleutelde financiële klantgegevens). Of als er een grote hoeveelheid minder gevoelige persoonsgegevens is gelekt of gegevens met informatie over heel veel personen. U moet dit zo mogelijk binnen 72 uur na de ontdekking melden aan de Autoriteit Persoonsgegevens (AP). Dat kan via het Meldloket Autoriteit Persoonsgegevens op de website van de AP. Als er op dat moment nog onvoldoende duidelijk is of er daadwerkelijk een meldplicht bestaat, moet u toch melden. Als later blijkt dat er toch geen meldplicht bestond, kunt u de melding weer intrekken. Het meldingenregister is overigens niet openbaar.

In veel gevallen moet het datalek ook gemeld worden aan de betrokkenen van wie de persoonsgegevens zijn gelekt. U moet de betrokkenen zo mogelijk per e-mail of per brief informeren en u moet daarbij ook informatie geven over de maatregelen die de betrokkenen kunnen nemen om de gevolgen van het datalek te beperken. De betrokkenen hoeven niet geïnformeerd te worden als u voldoende technische maatregelen heeft genomen om de persoonsgegevens te beschermen (zoals encryptie of een geslaagde remote wiping van de gegevens) of als er zeer zwaarwegende redenen zijn tegen het informeren van de betrokkenen (bijvoorbeeld bij een lek tijdens een overnametraject van een beursgenoteerde onderneming).

De meldplicht van een datalek bestaat ook als het datalek zich voordoet bij een partij die persoonsgegevens voor u verwerkt, zoals een cloudprovider. U moet met die partijen dus goede afspraken maken over de procedure ingeval van een datalek bij de provider. De provider mag in beginsel een datalek namens u melden, maar het is verstandig om daar wel nauw bij betrokken te zijn. Uiteindelijk bent u zelf verantwoordelijk voor het melden van een lek van uw persoonsgegevens, ook als die gegevens bij uw provider zijn gelekt.

Als u de meldplicht niet (goed) nakomt kan de AP een boete opleggen die kan oplopen tot EUR 820.000 of 10% van de jaaromzet. Dat kan de AP alleen doen als zij eerst een bindende aanwijzing heeft gedaan die u niet heeft opgevolgd. Alleen als u opzettelijk niet heeft gemeld of als u ernstig verwijtbaar heeft gehandeld, kan de AP de boete direct opleggen. Het is dus zaak om een aantal maatregelen te nemen om te kunnen voldoen aan de meldplicht, zoals het intern vastleggen van een procedure voor het melden van een datalek en het regelen van een meldingsprocedure met providers. Wij kunnen u daarover uiteraard adviseren.