05 feb '18
Onderzoek heeft aangetoond dat de gegevens van een persoon in honderden tot duizenden bestanden zitten. Wanneer gegevens niet goed worden beveiligd, kan dit leiden tot misbruik van deze gegevens. De beveiliging van persoonsgegevens heeft daarom een belangrijke plaats binnen het privacyrecht. Wanneer beveiliging faalt en sprake is van verlies van gegevens, moet een organisatie hier ‘onverwijld’ melding van maken bij de Autoriteit Persoonsgegevens (AP). Onder omstandigheden bestaat er ook een verplichting om het datalek te melden aan de betrokkene. Een datalek kan – naast de evident nadelige gevolgen voor de betrokkene – nadelig zijn voor een organisatie. Denk bijvoorbeeld aan negatieve publiciteit, een breuk in de vertrouwensband met klanten en alle financiële gevolgen die daaruit voortvloeien. Ook onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, blijft beveiliging van persoonsgegevens een belangrijke verplichting.
De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat bedrijven die persoonsgegevens verwerken, deze gegevens moeten beveiligen tegen verlies of een andere vorm van onrechtmatige verwerking. Om verlies of onrechtmatige verwerking te voorkomen moeten passende technische en organisatorische maatregelen worden genomen. Wat ‘passende’ maatregelen zijn, is afhankelijk van de situatie. Daarbij speelt een rol in welke categorie de gegevens zijn in te delen: (i) ‘gewone’ gegevens, (ii) gevoelige gegevens of (iii) bijzondere gegevens. Een webwinkel met een klein klantenbestand zal bijvoorbeeld met minder maatregelen kunnen volstaan dan een grote zorginstelling die op grote schaal bijzondere persoonsgegevens, zoals medische gegevens, verwerkt.
Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Deze verplichting houdt in dat organisaties melding moeten doen bij de AP, zodra sprake is van een ernstig datalek. Wanneer het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer van een betrokkene, dient het datalek ook aan de betrokkene te worden gemeld. Niet ieder beveiligingsincident leidt tot een datalek, waarvan melding verplicht is. Er is sprake van een datalek wanneer daadwerkelijk persoonsgegevens verloren zijn gegaan, of als een onrechtmatige verwerking niet kan worden uitgesloten. In de praktijk is het voor partijen soms lastig te bepalen of er sprake is van een datalek, en zo ja, of dit datalek bij de Autoriteit Persoonsgegevens of bij de betrokkene(n) dient te worden gemeld (of bij allebei). Hieronder worden twee voorbeeldsituaties geschetst, die duidelijk maken dat iedere situatie waarin mogelijk sprake is van een datalek, een nauwkeurige beoordeling behoeft.
Voorbeeld 1: gestolen laptop
Een laptop is gestolen uit een kantoor van een zorginstelling voor kinderen. Op de laptop, die slechts is beveiligd met een simpel wachtwoord, staan bijzondere gegevens over de gezondheid en het welzijn van een groot aantal kinderen. Nu de computer nauwelijks is beveiligd, is er een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Er bestaat dan ook een verplichting om het datalek te melden bij zowel de Autoriteit Persoonsgegevens, als bij de betrokkene.
Voorbeeld 2: verkeerd bezorgde brief
Een brief met daarin persoonsgegevens wordt bezorgd bij het verkeerde adres. De envelop komt een week later ongeopend retour. Nu de brief niet is geopend bestaat er geen aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Er hoeft geen melding te worden gemaakt bij de Autoriteit Persoonsgegevens, of de betrokkene.
Onder de AVG blijft onveranderd dat organisaties passende technische en organisatorische maatregelen moeten treffen. De AVG geeft in artikel 32 een aantal voorbeelden van manieren waarop passende maatregelen kunnen worden getroffen. Dit kan bijvoorbeeld door pseudonimisering en versleuteling van de persoonsgegevens. Een andere oplossing die de AVG in datzelfde artikel geeft, is dat organisaties zich kunnen aansluiten bij een door de AP goedgekeurde gedragscode of een door de AP goedgekeurd certificeringsmechanisme. Dit kan worden gebruikt als element om aan te tonen dat de organisatie passende maatregelen heeft getroffen. Kijk op de website van de AP welke gedragscodes zijn goedgekeurd. Tot nu toe zijn twee gedragscodes door de AP goedgekeurd, de Gedragscode voor slimme meters netbeheerders en de Privacygedragscode sector particuliere onderzoeksbureaus van de Nederlandse Veiligheidsbranche.
In Nederland bestaat al sinds 1 januari 2016 al een meldplicht datalekken. Deze meldplicht zal vanaf 25 mei 2018 onder de AVG in de gehele Europese Unie gaan gelden. Een verschil tussen de meldplicht onder de Wbp en onder de AVG is dat onder de AVG een algemene uitzondering bestaat voor het melden aan de autoriteit. Een organisatie hoeft een datalek niet te melden bij de AP indien het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien u meer wilt weten over de beveiliging van persoonsgegevens of de meldplicht datalekken, neem dan contact op met het IT- en privacyteam van Ploum.
Lees meer artikelen in deze reeks:
Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.