21 januari 2016
Posted in Blog 2016
21 januari 2016 Terecht Gesteld

Meldplicht bij diefstal, verlies of misbruik van persoonsgegevens

Door Rosanne Schriever

De Wet Bescherming Persoonsgegevens (hierna: Wbp) dient ter bescherming van de privacy van burgers. De Wbp regelt onder andere wat publieke en private organisaties die persoonsgegevens verwerken met deze gegevens mogen doen. Waar burgers rechten kunnen ontlenen aan de Wpb, legt deze wet verplichtingen op aan overheden en andere instellingen.

Per 1 januari 2016 is de Wbp gewijzigd. Met deze wetswijziging is er een meldplicht voor datalekken geïntroduceerd. Tevens is de naam van het College Bescherming Persoonsgegevens (hierna: CBP) veranderd in Autoriteit Persoonsgegevens (hierna: AP). De AP krijgt door deze wetswijziging per 1 januari 2016 een boetebevoegdheid, dat wil zeggen dat de AP direct boetes kan opleggen wanneer de Wbp wordt overtreden.

De verantwoordelijke (niet de bewerker) is verplicht om diefstal, verlies of misbruik van persoonsgegevens te melden aan de betrokken personen en aan de AP. Dit onder een drietal voorwaarden:

1. Er moet sprake zijn van een inbreuk op de beveiliging van persoonsgegevens;
2. Deze inbreuk moet zich voordoen bij een publieke of private organisatie;
3. Deze inbreuk moet leiden tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door organisaties worden verwerkt. De inbreuk moet leiden tot diefstal, verlies of misbruik van persoonsgegevens.

Wanneer een datalek niet op tijd gemeld wordt kan een boete opgelegd worden. Het doel van deze meldplicht is om tot een betere bescherming van persoonsgegevens te komen.

Maar wat moet onder een datalek verstaan worden en wanneer is zo’n dergelijk datalek ernstig genoeg om te moeten melden? Om de onduidelijkheid met betrekking tot de toepassing van art. 34a Wbp tegen te gaan, heeft de AP beleidsregels opgesteld.

Er is sprake van een datalek wanneer persoonsgegevens in handen vallen van partijen die daar geen toegang tot zouden moeten hebben. Dit als gevolg van een beveiligingsprobleem. Door de inbreuk op de beveiliging worden persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

Voorheen had het CBP reeds de bevoegdheid om boetes op te leggen bij het overtreden van administratieve voorschriften door de verantwoordelijke. De boete die de Autoriteit nu mag opleggen varieert van maximaal €20.225 in de laagste categorie tot maximaal €820.00 in de hoogste categorie.

Deze bedragen zijn zo hoog omdat de gevolgen van datalekken enorm kunnen zijn. Door beveiligingsfouten is het mogelijk dat grote hoeveelheden persoonsgegevens openbaar worden. Hoe eerder de betrokken personen en de AP ingelicht worden, hoe eerder de privacy van de betrokken personen gewaarborgd kan worden.  Nu de Wbp juist strekt ter bescherming van de privacy van personen lijkt dit een begrijpelijk keus.