
Meldplicht datalekken: nu en straks
Afgelopen april zijn patiëntgegevens gestolen van het Antoni van Leeuwenhoek Ziekenhuis. Het gaat om een laptop met daarop namen en patiëntennummers van bijna 1700 personen. Het ziekenhuis heeft de patiënten en de Autoriteit Persoonsgegevens op de hoogte gesteld. Eerder, in december 2015, vond ook een datalek plaats bij het ziekenhuis. Een externe harde schijf met gegevens van bijna 800 patiënten werd gestolen uit de achterbak van een onderzoeker.
Het ziekenhuis is verplicht een datalek als hiervoor genoemd te melden op grond van de Wet bescherming persoonsgegevens (hierna “Wbp”). Sinds 1 januari 2016 is hierin de meldplicht datalekken opgenomen. Volgens de Wbp dient degene die persoonsgegevens verwerkt ‘passende technische en organisatorische maatregelen’ te nemen om de persoonsgegevens te beveiligen. Als deze maatregelen niet hebben gefunctioneerd, dan kan sprake zijn van verlies of onrechtmatige verwerking van persoonsgegevens, oftewel een datalek.
Het ‘niet functioneren’ van de maatregelen kan gebeuren doordat de beveiligingsmaatregelen worden omzeild. Bijvoorbeeld als het systeem wordt gehackt of door een diefstal, zoals bij het Antonie van Leeuwenhoek Ziekenhuis. Het kan ook gebeuren dat maatregelen tekortschieten door een menselijke fout of doordat de beveiligingsmaatregelen niet worden toegepast. Mensen verliezen bijvoorbeeld hun wachtwoord of sturen een e-mail naar de verkeerde persoon.
Indien sprake is van een inbreuk op beveiligingsmaatregelen en de inbreuk heeft tot gevolg dat er een aanmerkelijke kans is op nadelige gevolgen (dat wil zeggen verlies of onrechtmatige verwerking) dan dient de verwerker van persoonsgegevens dit onverwijld aan de Autoriteit Persoonsgegevens melden. Heeft de inbreuk mogelijk ook ongunstige gevolgen voor de persoonlijke levenssfeer van degene van wie de persoonsgegevens zijn gelekt (de betrokkene), dan moet ook deze onverwijld op de hoogte worden gebracht. De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld die organisaties kunnen ondersteunen bij het bepalen of de meldplicht van toepassing is.
Vanaf 25 mei 2018 geldt de Verordening gegevensbescherming (hierna “Verordening”). Deze regels komen in plaats van de richtlijn 95/46/EG en de Wbp die daarop is gebaseerd. Ook in de Verordening staat de meldplicht opgenomen.
De wettelijke regelingen komen grotendeels met elkaar overeen. Zo dient een organisatie volgens de Verordening de toezichthoudende autoriteit op de hoogte te stellen zonder onredelijke vertraging en, indien mogelijk, binnen 72 uur na kennisneming van de inbreuk. In de Wbp staat dat de melding ‘onverwijld’ dient te gebeuren. Volgens de Autoriteit Persoonsgegevens mag een organisatie eerst onderzoeken of een melding daadwerkelijk nodig is. De melding dient, indien nodig, niet later dan 72 uur te worden gemaakt.
Toch bestaan ook verschillen tussen de regelingen. Met name tussen de voorwaarden waaronder een toezichthoudende autoriteit op de hoogte moet worden gebracht en wanneer een betrokkene moet worden geïnformeerd over een inbreuk.
Volgens de Verordening moet een melding aan de toezichthoudende autoriteit worden gemaakt indien het waarschijnlijk is dat een risico bestaat voor de rechten en vrijheden van natuurlijke personen. Een dergelijk risico bestaat in aanzienlijk economisch of maatschappelijk nadeel. Voorbeelden zijn reputatieschade, identiteitsdiefstal of -fraude en discriminatie. Onder de Wbp dient een melding te worden gemaakt indien sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Deze nadelige gevolgen zijn afhankelijk van verschillende factoren (onder andere de aard van de gegevens en de hoeveelheid gelekte persoonsgegevens). Dit is een andere toets dan die uit de Verordening. Dat blijkt ook uit de voorwaarden voor de melding aan de betrokkene.
Volgens de Wbp dient de betrokkene te worden geïnformeerd indien het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer. De voorbeelden die de Autoriteit Persoonsgegevens geeft lijken sterk op de voorbeelden die in de Verordening staan voor de situaties waarin de toezichthoudende autoriteit op de hoogte moet worden gesteld (namelijk in het geval van een aanzienlijk economische of maatschappelijk nadeel). Volgens de Verordening dienen de betrokkenen op de hoogte te worden gesteld indien de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit risico moet dus (blijkbaar) hoger zijn dan ‘een aanzienlijk economisch of maatschappelijk nadeel’. Kortom, het lijkt er op dat de voorwaarden die gelden onder de Wbp voor de melding aan de betrokkenen onder de Verordening gelden voor een melding aan de toezichthoudende autoriteit.
Het is aan te raden de beveiligingsmaatregelen van uw bedrijf nog eens goed na te lopen en te beoordelen of de door u verwerkte persoonsgegevens veilig zijn voor datalekken. Vooral ook omdat de boete onder de Wbp (maximaal € 820.000,-) aanzienlijk lager kan uitvallen dan onder de Verordening. Volgens de laatste regeling kan de toezichthoudende autoriteit een boete opleggen van maximaal € 10.000.000,- (of tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar) en indien sprake is van opzet of ernstige nalatigheid maximaal € 20.000.000,- (of tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar).
Natascha van Duuren, advocaat/partner IT, IE & Privacy
Ook interessant?

