Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Let op: vanaf 25 mei 2018 dient u álle inbreuken in verband met persoonsgegevens te documenteren

Natascha van Duuren

16 mei 2017 - 2 minuten leestijd

In de Wbp is sinds 1 januari 2016 de meldplicht datalekken opgenomen (zie ook mijn eerdere blog ‘Meldplicht datalekken: nu en straks’). Op basis hiervan is de verwerkingsverantwoordelijke verplicht een inbreuk op de beveiliging van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens “indien de inbreuk (de aanzienlijke kans op) ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In dat geval is sprake van een datalek. Ook moet degene wiens persoonsgegevens zijn gelekt (de betrokkene) op de hoogte worden gebracht indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

De verwerkingsverantwoordelijke heeft naast de meldplicht ook de verplichting een overzicht bij te houden van dergelijke inbreuken. Dit overzicht, dat volgens de Autoriteit Persoonsgegevens minimaal een jaar moet worden bewaard, bevat in ieder geval de feiten en gegevens omtrent de aard van de inbreuk en, indien van toepassing, de tekst van de kennisgeving aan de betrokkene.

Volgens de Algemene Verordening Gegevensverwerking die vanaf 25 mei 2018 van toepassing is, moet een inbreuk in verband met persoonsgegevens worden gemeld aan de toezichthoudende autoriteit, “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”. Indien dit een hoog risico betreft, dan dient ook de betrokkene op de hoogte te worden gesteld. Dit dient “onverwijld” te gebeuren.

De plicht tot het bijhouden van een overzicht is ook expliciet opgenomen  in de Verordening. De verwerkingsverantwoordelijke dient “alle inbreuken in verband met persoonsgegevens” te documenteren. Het dient te gaan om “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Hieronder valt dus óók een inbreuk op de beveiliging die géén (aanzienlijke kans op) ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Dit betekent dat iedere inbreuk op de beveiliging van persoonsgegevens moet worden vastgelegd, ongeacht of een meldplicht bestaat.

In de documentatie moeten de feiten omtrent de inbreuk worden opgenomen, de gevolgen daarvan en de genomen corrigerende maatregelen. Over de bewaartermijn zwijgt de Verordening…

Het is dus van belang dat u nu al nadenkt over de wijze waarop u straks zo praktisch en goed mogelijk beveiligingsinbreuken met betrekking tot persoonsgegevens gaat documenteren. Het niet-naleven van de documentatieplicht kan immers tot flinke boetes leiden.

Natascha van Duuren, advocaat/partner IT, IE & Privacy

Ook interessant?