Het einde van het jaar is in zicht, maar daarmee ook direct de inwerkingtreding van de meldplicht datalekken. Organisaties worden per 1 januari 2016 verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens en in sommige gevallen ook aan betrokkenen. Gelet op verschillende opinies en vragen die bij ons binnen komen blijken er nogal wat misverstanden te bestaan over deze meldplicht. Wij zetten er vijf op een rij.
Update: Met de intreding van de Algemene Verordening Gegevensbescherming (AVG) komen er nieuwe regels voor datalekken en de registratie.
1. Vernietiging van gegevens kan nooit een datalek zijn.
Een veelgehoord argument. Immers, als de gegevens vernietigd zijn kunnen ze ook niet in handen van kwaadwillenden vallen. Dat klopt. Echter, vernietiging van persoonsgegevens kan wel nadelige gevolgen hebben voor betrokkenen en wordt daarom door de toezichthouder aangemerkt als datalek.
2. De melding moet binnen 24 uur / twee werkdagen worden gedaan.
Dit is onjuist. De termijn van 24 uur kwam ik in een blog tegen en de termijn van twee werkdagen heeft in de conceptversie van de richtsnoeren van de toezichthouder gestaan. De wet stelt dat het datalek onverwijld gemeld dient te worden. In de definitieve versie van de richtsnoeren, die nu beleidsregels worden genoemd, is een termijn van 72 uur opgenomen. De toezichthouder legt uit dat onverwijld betekent dat je eerst enige tijd mag nemen voor nader onderzoek. Overigens kun je een lek ook na 72 uur nog melden, mits je gemotiveerd kunt betogen waarom je langer nodig hebt gehad.
3. Niet voldoen aan de meldplicht kan een boete van € 810.000,- opleveren.
Dat is niet helemaal juist. Los van het feit dat de maximale boetebevoegdheid € 820.000,- gaat zijn (artikel 23 lid 4 Wetboek van Strafrecht wordt per 1 januari 2016 eveneens aangepast, de boetes gaan omhoog), heeft de toezichthouder boetebeleidsregels uitgevaardigd. In deze beleidsregels zijn overtredingen van de Wbp per categorie ingedeeld. De toezichthouder kan een maximale boete van € 820.000,- opleggen, maar zal voor het niet voldoen aan de meldplicht een boete van de tweede categorie opleggen. Dat komt neer op een bedrag tussen de € 120.000,- en € 500.000,- per overtreding. Je kunt twee boetes verwachten als je ‘vergeet’ om een melding aan zowel de toezichthouder als de betrokkenen te doen.
Let wel, dit is gebaseerd op de consultatieversie van deze beleidsregels. Wellicht dat de definitieve versie hier verandering in gaat brengen.
4. De melding kan uitsluitend op schrift gedaan worden.
Een vaker gehoorde stelling, eveneens terug te lezen in het eerder genoemde blogbericht, is dat de melding uitsluitend op schrift gedaan kan worden. Ook dit is (gelukkig) een misverstand. De toezichthouder stelt een webformulier ter beschikking waarmee een melding gedaan kan worden. Kun je dat formulier, om wat voor reden dan ook, niet gebruiken, dan kun je volstaan met een fax (ja, echt).
5. Als bewerker heb je ook een meldplicht.
Alleen de verantwoordelijke voor de gegevensverwerking is verplicht om de melding aan de toezichthouder en eventueel aan de betrokkenen te doen. Toch vervult een bewerker een belangrijke rol in het doen van een melding. Een bewerker kan namelijk degene zijn die het lek als eerste constateert. In dat geval is het aan de verantwoordelijke om zorg te dragen dat de bewerker verplicht wordt om een dergelijk lek zo snel mogelijk aan hem door te geven. Dat dient vastgelegd te worden in een bewerkersovereenkomst.
Meer weten over deze meldplicht? Lees onze factsheet, of de uitgebreide beleidsregels van het CBP.
Meer weten over privacywetgeving?
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
