Met enige regelmaat ontvangen wij vragen over de aankomende meldplicht datalekken die per 1 januari 2016 in werking treedt. Door deze wijziging van de Wet bescherming persoonsgegevens zijn organisaties met ingang van het nieuwe jaar verplicht om datalekken te melden bij de toezichthouder en in sommige gevallen ook bij de betrokkenen.
Eén van die vragen heeft betrekking op de bewerkersrol:
Moet ik als bewerker een datalek ook melden bij de toezichthouder?
Een bewerker is de partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Zo is een postbezorger bijvoorbeeld een bewerker voor een webwinkel en kan een softwaredeveloper bewerker voor zijn opdrachtgever zijn.
Het antwoord op de vraag is terug te vinden in de Wbp. Het nieuwe artikel 34a duidelijk immers:
De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging […]
En:
De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk […]
De verplichting ligt dus duidelijk bij de verantwoordelijke. Vindt er bij de bewerker een datalek plaats, dan heeft de bewerker geen wettelijke meldplicht. Uiteraard moet er dan wel uitsluitend sprake zijn van een datalek met persoonsgegevens die in de rol van bewerker worden verwerkt. Gaat het om zijn ‘eigen’ persoonsgegevens, dan dient hij dit wel zelf te melden.
Indien hier met de verantwoordelijke geen heldere afspraken zijn gemaakt, kan dit vervelende gevolgen hebben voor de verantwoordelijke. ‘Zijn’ persoonsgegevens zijn gelekt, dus hij moet dat melden. Maar als de bewerker dit niet mededeelt komt hij er niet achter dat er een datalek heeft plaatsgevonden en kan het achterwege blijven van de melding een boete van de toezichthouder tot gevolg hebben.
Maak als verantwoordelijke daarom altijd heldere afspraken met de bewerker (hallo bewerkersovereenkomst) waarin concrete afspraken over het melden van de datalekken vastgelegd worden.
ICTRecht Academy
