Datalekken onder huidig recht en onder de AVG

leestijd 5 minuten
18 oktober 2019

Op 1 januari 2016 is in Nederland de Wet Meldplicht Datalekken in werking getreden. Met deze wet is de Wet bescherming persoonsgegevens (Wbp) aangevuld met een verplichting voor organisaties om datalekken te melden bij de toezichthouder (de Autoriteit Persoonsgegevens, of AP).

Vanaf 2018 zal nieuwe regelgeving intreden in de vorm van de Algemene Verordening Gegevensbescherming, maar wat heeft dit voor gevolgen voor de meldplicht van datalekken?

Wat is een datalek?

Een datalek is het onbedoeld vrijkomen, wijzigen, vernietigen of toegankelijk worden van persoonsgegevens bij een organisatie. Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking, waardoor er sprake is van een inbreuk op de beveiliging van persoonsgegevens. Een datalek kan bijvoorbeeld ontstaan door het hacken van een databestand, een gestolen laptop, verkeerd bezorgde poststukken, maar ook door het kwijtraken van een USB-stick.

Een datalek kan ernstige gevolgen hebben voor uw organisatie. Een bekend voorbeeld is het datalek bij Yahoo, dat in augustus aan het licht kwam, waarbij de accountgegevens van zeker vijf miljoen gebruikers zijn buitgemaakt door hackers. De gevolgen hier van kunnen catastrofaal zijn voor Yahoo. Yahoo zat middenin onderhandelingen over de verkoop van het bedrijf aan Verizon, maar sinds het datalek bekend is geworden wordt er onderhandeld over nieuwe voorwaarden. Er wordt zelfs gesproken van een korting van maar liefst één miljard dollar.

Wet meldplicht datalekken

Gelukkig zijn niet alle datalekken gelijk meldplichtig. Het moet gaan om inbreuken op de beveiliging die leiden tot een ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. In bepaalde gevallen moeten ook betrokkenen worden ingelicht over het feit dat hun persoonsgegevens verloren zijn gegaan of zijn gecompromitteerd.

Dat een datalek niet hoeft te worden gemeld betekent niet dat het niet anderszins aan het licht zal komen: goed inzicht in de mogelijke datalekken in uw organisatie en goede voorbereiding, bijvoorbeeld met het oog op mogelijke communicatie naar de buitenwereld, zijn dan ook van groot belang om uw risico’s zo klein mogelijk te houden.

Desalniettemin blijft de allereerste stap om datalekken en het risico op meldplichten te voorkomen een adequate beveiliging. De AP heeft hiervoor richtsnoeren in de vorm van beleidsregels opgesteld, deze zijn hier te vinden. 

Algemene Verordening Gegevensbescherming (AVG)

Vanaf 2018 treedt in Europa nieuwe privacywetgeving in werking: de General Data Protection Regulation (GDPR), ofwel de Algemene Verordening Gegevensbescherming (AVG). Met de komst van de AVG wordt de Wbp vervangen. Organisaties hebben tot medio 2018 de tijd om zich op de daarin neergelegde verplichtingen voor te bereiden. Dit lijkt ver weg, maar door de ingrijpende veranderingen zal het organisaties veel tijd kosten om hun organisatie klaar te maken voor deze nieuwe verplichtingen.

Ook de AVG kent een meldplicht voor datalekken. De verantwoordelijke is onder de AVG, net zoals onder de huidige Wbp, verplicht om verzamelde persoonsgegevens adequaat te beveiligen. Indien desondanks persoonsgegevens lekken, is de verantwoordelijke verplicht om dit binnen 72 uur aan de toezichthouder en eventueel aan de betrokkene te melden. Hiermee sluit de AVG aan op de thans in Nederland geldende meldplicht datalekken.

De AVG stelt dat een adequate beveiliging van verzamelde persoonsgegevens onder meer wordt bewerkstelligd door middel van Privacy by Design and Default. Dit houdt in dat verantwoordelijken al bij de ontwikkeling van nieuwe producten en diensten, waarbij persoonsgegevens worden verwerkt, privacy-verhogende aspecten moeten inbouwen in het ontwerp. Tevens moeten zij de meest privacy-vriendelijke instellingen als standaard instellen.

Wat zijn de risico’s?

Op dit moment heeft de AP een boetebevoegdheid tot € 820.000,- voor het niet voldoen aan de meldplicht datalekken. Met de inwerkingtreding van de AVG kunnen deze boetes oplopen tot maar liefst € 20 miljoen of 4% van de jaarlijkse globale omzet per overtreding.

Bovendien is een juiste omgang met persoonsgegevens gekoppeld aan het vertrouwen dat klanten stellen in organisaties. Wanneer een private of publieke organisatie op een verkeerde manier met persoonsgegevens om zou gaan, zal het vertrouwen in die organisatie dalen, wat kan leiden tot reputatieschade en een verslechterde positie in de markt.

Wat de doen bij een datalek?

Wanneer een datalek zich eenmaal voordoet dienen organisaties snel te handelen teneinde de negatieve gevolgen daarvan beperkt te houden. De reputatie van een organisatie staat of valt door middel van goede communicatie naar de buitenwereld en betrokkenen. Door middel van transparante, sterke communicatie naar de buitenwereld kan de schade van een datalek worden beperkt.

Middels het inrichten van de juiste processen en procedures alsmede door vooraf goed na te denken over de manier van communiceren kunnen organisaties zich optimaal voorbereiden op het afhandelen van potentiële datalekken. Indien een organisatie actief is in meerdere lidstaten van de Europese Unie, dient eerst te worden onderzocht in welke lidstaat het datalek gemeld moet worden.

Wilt u meer weten over de Wet meldplicht datalekken of heeft u advies nodig over een datalek, neem dan gerust contact op met een van onze consultants.

Dit artikel is geschreven in samenwerking met Considerati, door: Jules van Stralendorff, in samenwerking met Natalie Falot & Tess Vonk.

Lees meer over