Meldplicht data lekken

InleidingOrganisaties zijn op grond van de Wet bescherming persoonsgegevens (WBP) verplicht om de kans op een datalek te verkleinen. Dit gebeurt door goede technische en organisatorische voorzieningen te treffen. Per 1 januari 2016 is deze zorgplicht uitgebreid met een Meldplicht datalekken. Bij een datalek is er kans op verlies of onrechtmatige verwerking van persoonsgegevens. In bepaalde situaties moet deze gemeld worden bij de Autoriteit Persoonsgegevens (het voormalige College Bescherming Persoonsgegevens (CBP)).

Voor welke organisaties geldt dit?Organisaties die met persoonsgegevens werken moeten de Meldplicht datalekken integreren in hun bedrijfsvoering.

Wat betekent dit voor organisaties?Elke organisatie heeft in grote lijnen te maken met drie uitdagingen:

1. Voorkomen Een datalek wordt voorkomen door zicht te hebben op nut en noodzaak van een verwerking van persoonsgegevens. Daarnaast is risicomanagement nodig om te bepalen wat passende beveiligingsmaatregelen zijn;

2. Detecteren Signaleren dat een datalek heeft plaatsgevonden. De organisatie zal maatregelen moeten treffen om vast te stellen dat een inbreuk op de beveiliging heeft plaatsgevonden;

3. Opvolgen Als een datalek plaatsvindt dient de organisatie zo snel mogelijk het lek te dichten en het verlies van data beperken. Vervolgens zal via een efficiënt proces het datalek geregistreerd, beoordeeld, afgewogen en mogelijk gemeld dienen te worden. Ten slotte zijn er maatregelen ingericht om te leren van bestaande datalekken.

De eerste twee uitdagingen (voorkomen en detecteren) kunnen feitelijk niet nieuw zijn voor organisaties en horen thuis in het integraal risicomanagement van de organisatie. De derde is nieuw waar het gaat om de afwegingen over de meldplicht. De toezichthouder, Autoriteit Persoonsgegevens, verwacht van organisaties dat zij alles in het werk stellen om te komen tot een transparante en zorgvuldige afweging. Dat vraagt om de juiste voorbereiding, de juiste processen en de juiste expertise. Het kan een complexe materie zijn die vraagt om het inschakelen van kennis die niet binnen de organisatie zelf aanwezig is. Daarna kan door een organisatie een gedegen afweging worden gemaakt. Wie op deze manier omgaat met de meldplicht zal waarschijnlijk ook de in de beoordeling achteraf door de toezichthouder weinig verwijten krijgen.

Wat is een datalek?Er is sprake van een datalek als persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en niet geautoriseerde toegang tot deze persoonsgegevens. Er is dus niet alleen sprake van een datalek bij een inbraak door een hacker. Ook

VSG8102 1

het kwijtraken van een USB-stick, de diefstal van een laptop, het verzenden van gevoelige gegevens naar een onjuist e-mailadres of het verlies van gegevens bij een brand in het datacentrum terwijl er geen back-up beschikbaar is, zijn voorbeelden van een datalek.

Adviezen 1. Het melden van een lek opnemen in de bewerkersovereenkomst met externe partijen.De externe partijen worden daarmee contractueel verplicht een lek in hun eigen systemen te melden bij de opdrachtgever, omdat die onder alle omstandigheden verantwoordelijk blijft. Door deze verplichting op te nemen in de bewerkersovereenkomst, laat de opdrachtgever zien dat hij heeft voldaan aan de eisen in de Meldplicht.2. Het opstellen van intern beleid Bij incidenten moet aan de Autoriteit Persoonsgegevens getoond worden wat allemaal is geregeld.Op papier moet staan:- welke procedure wordt gevolgd voor het bewaren van persoonsgegevens (wat wordt er bewaard, hoe lang, hoe wordt het opgeslagen etc).- welke procedure wordt gevolgd als zich een datalek voor zou doen (wanneer moet er gemeld worden (zie bijlage 1) en wie neemt de melding op zich).

Moeten alle datalekken gemeld worden bij Autoriteit Persoonsgegevens?Niet in iedere situatie waarin een laptop met persoonsgegevens wordt gestolen of een ICT-systeem wordt gehackt, hoeft te worden gemeld bij de Autoriteit Persoonsgegevens. Er hoeft alleen een datalek gemeld te worden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

De Autoriteit Persoonsgegevens heeft beleidsregels Meldplicht datalekken opgesteld. De organisaties tot wie de Meldplicht datalekken zich richt, moeten zelf een beredeneerde afweging maken of een concreet datalek dat hen ter kennis komt onder het bereik van de wettelijke meldplicht valt. Doel van deze beleidsregels is om hen daarbij te ondersteunen. Daarnaast helpen ze om te bepalen of sprake is van waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen. Ook helpen deze beleidsregels met de vraag of de getroffen technische beschermingsmaatregelen de gegevens onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden.

Hoe kan een datalek worden gemeld?Een datalek kan gemeld worden via het meldloket datalekken. Lukt het niet om via het meldformulier te melden, dan kan melding worden gedaan via faxnummer 070 - 888 85 01. De mogelijkheid om per fax datalekken te melden is uitsluitend bedoeld voor die situaties waarin het niet mogelijk is om door middel van het formulier het datalek te melden.

Wat doet de Autoriteit Persoonsgegevens met de melding van een datalek?De Autoriteit Persoonsgegevens slaat de melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.

Overtreding Meldplicht datalekkenAls een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens wordt gemeld kan de Autoriteit Persoonsgegevens  een boete geven. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.

VSG8102 2

Stappenplan om voor te bereiden op de Meldplicht data lekken1. Ervoor zorgen dat de persoonsgegevens die verwerkt worden  goed beveiligd zijn.2. Inrichten goed incidentenbeheer.3. Beslissen wie in de organisatie datalekken gaat beoordelen en melden bij de Autoriteit Persoonsgegevens.4. Nadenken over hoe de betrokkenen geïnformeerd worden bij een datalek.5. Nadenken over hoe om te gaan met signalen uit de buitenwereld over mogelijke datalekken.6. Controleren van de afspraken met bewerkers.

Meer informatie is te vinden ophttps://autoriteitpersoonsgegevens.nl/nlEn daarnaast het bestuursrendement een aantal tools ontwikkeld die te downloaden zijn als men een account heeft van rendement.nl

VSG8102 3

Bijlage 1Beslismodel om vast te stellen of en hoe een datalek gemeld moet worden

VSG8102 4