Deze zomer is het wetsvoorstel meldplicht datalekken naar de Tweede Kamer gestuurd en naar verwachting zal dit voorstel in het voorjaar van 2014 in de Eerste Kamer komen.
Alle organisaties die persoonsgegevens verwerken worden straks verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Dit wetsvoorstel sluit min of meer aan op de aanstaande Europese Privacy Verordening (EPV), maar wil daar niet op wachten.
De inhoud van het artikel komt er op neer dat de toezichthouder – het College bescherming persoonsgegevens (CBP) – binnen 24 uur na constatering een melding dient te ontvangen. Volledig gedocumenteerd, zodat het CBP kan controleren in hoeverre de organisatie afdoende maatregelen heeft getroffen. Daarnaast moet in veel gevallen ook degene wiens persoonsgegevens zijn gelekt, een melding ontvangen als er sprake is van waarschijnlijk ongunstige gevolgen voor diens persoonlijke levenssfeer. Is er sprake van nalatigheid om te melden, dan kan het CBP een boete opleggen van maximaal € 450.000 (de hoogte staat nog ter discussie in die zin dat het waarschijnlijk hoger wordt, conform de EPV).
De meldplicht zal worden toegevoegd in artikel 34a. Volgens dit artikel is pas sprake van een onder de meldplichtbepaling vallend datalek als de technische en organisatorische beveiligingsmaatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijke kans op verlies of onrechtmatige verwerking. Er hoeft niet noodzakelijkerwijs sprake te zijn van tekortschietende beveiligingsmaatregelen, immers kan ook sprake zijn van een inbreuk op de beveiliging als de beveiliging van voldoende niveau is, maar de beveiligingsmaatregelen worden omzeild. Bijvoorbeeld bij een complexe hack van een ICT-systeem, of de diefstal van een laptop of mobiele telefoon uit een afgesloten locker. Natuurlijk zijn er ook situaties denkbaar waarin de inbreuk wel het gevolg is van een tekortschietende beveiliging. Dat kan de verantwoordelijke worden aangerekend. Dit kan variëren van onvoldoende beveiligingsmaatregelen tot menselijke fouten. Het slordig omgaan met wachtwoorden, of het per ongeluk verkeerd adresseren van e-mail met persoonsgegevens, het als oud papier aanbieden van gevoelige stukken, of het zoekraken van een mobiele telefoon of een geheugenstick, zijn voorbeelden hiervan.
De meldplicht houdt niet in dat de verantwoordelijke elke inbreuk op de beveiliging van persoonsgegevens dient te melden, maar wordt beperkt tot die inbreuken waarvan “redelijkerwijs” kan worden aangenomen dat die leiden tot een “aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens” die door hem worden verwerkt.
Om vast te stellen of aan de meldplicht moet worden voldaan, dient de verantwoordelijke zich de volgende vragen te stellen:
- Is er sprake is van een inbreuk op de getroffen beveiligingsmaatregelen?
- Zo ja, heeft de inbreuk tot gevolg gehad dat de verwerkte persoonsgegevens zijn blootgesteld aan een aanmerkelijke kans op nadelige gevolgen voor de desbetreffende personen?
- Vervolgens moet sprake zijn van een aanmerkelijke kans.
- Tenslotte moet ook aannemelijk zijn dat dit redelijkerwijs tot nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkene leidt.
Niet elk risico rechtvaardigt een melding. Of er sprake is van een aanmerkelijke kans is afhankelijk van de concrete feiten en omstandigheden. De aard van de inbreuk zal doorgaans van belang zijn bij het bepalen van de grootte van het risico. Het is niet goed mogelijk aan te geven of het verlies van een mobiele telefoon, de diefstal van een laptop of het zoekraken van een geheugenstick wel of geen aanleiding geeft een melding te doen. Of die noodzaak aanwezig is, is afhankelijk van de aard van de data die het betreft en het vermoedelijke risico dat de betrokkene en de verantwoordelijke lopen ingeval van zoekraken of onrechtmatige verwerking.
