Per 1 januari 2016 treedt in werking art 34a van de Wet bescherming persoonsgegevens (Wbp): de meldplicht datalekken. Een regeling die erop is gericht om de persoonlijke levenssfeer van een ieder van ons zo goed mogelijk te beschermen en de zorgvuldigheid waarmee met persoonsgegevens wordt omgegaan, zo groot mogelijk te maken. Maar met mogelijk verstrekkende gevolgen voor de degenen die het aangaat.
Kortgezegd komt de regeling erop neer dat alle bedrijven (en overigens ook overheden) die persoonsgegevens verwerken verplicht zijn om een ernstig datalek direct te melden bij de Autoriteit Persoonsgegevens (tot 1 januari 2016 College bescherming persoonsgegevens (CBP) genaamd). En in een beperkt aantal gevallen moet het datalek bovendien worden gemeld aan degenen van wie de persoonsgegevens zijn gelekt.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare persoon. Dus alle gegevens waaruit de identiteit van iemand direct blijkt of van wie de identiteit aan de hand van die gegevens zonder onevenredige inspanning kan worden vastgesteld. Onder het zogenaamde verwerken van dergelijke persoonsgegevens kan eigenlijk alles worden verstaan wat je met persoonsgegevens kunt doen. Het verzamelen, opslaan, opvragen, raadplegen van dergelijke gegevens, maar bijvoorbeeld ook het verstrekken door middel van doorzenden van gegevens of het met elkaar in verband brengen van gegevens.
Denk bijvoorbeeld aan een opgeslagen klantenbestand, maar ook heel simpel aan een dossier met daarin bepaalde gegevens van een klant. Wordt een databestand gehackt, verlies je een USB-stick met daarop persoonsgegevens of wordt je laptop gestolen? Dan is de kans zeer groot dat sprake is van wat de wet een datalek noemt en moet onverwijld een melding worden gedaan. Dat hoeft alleen niet als van te voren zodanige technische maatregelen zijn genomen dat de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn geworden. Denk bijvoorbeeld aan cryptografische bewerkingen zoals encryptie of hashing.
Boete met een maximum van € 820.000,–
Wordt er opzettelijk gehandeld in strijd met de meldplicht of met andere verplichtingen in de Wbp die daarmee samenhangen? Dan kan er een boete worden opgelegd met een maximum van € 820.000,– (!). Is er geen sprake van opzet of van ernstige nalatigheid dan kan er voorafgaand aan het opleggen van een boete eerst een bindende aanwijzing worden opgelegd, die vervolgens moet worden opgevolgd. Gedacht kan worden aan de opdracht persoonsgegevens voortaan te voorzien van een cryptografische bewerking, of een aanscherping van interne protocollen.
Kortom: aan het verzamelen van en werken met persoonsgegevens wordt een zware zorgplicht verbonden. Je hebt er simpelweg voor in te staan dat alles wat je in redelijkheid kunt doen om de vertrouwelijkheid van dergelijke gegevens te beschermen, ook wordt gedaan. Op straffe van een hoge boete en veel ellende.
Zoals ware ondernemers betaamt zijn er alweer scherpe geesten opgestaan die hier brood in zien. De eerste cyberpolissen worden al door verzekeraars aangeboden. Niet alleen om een eventuele boete af te dekken, maar met name ook om alle herstelwerkzaamheden die een datalek met zich meebrengt, snel en kundig door specialisten uit te laten voeren.
Vragen hierover? Neem contact op met mr. Voors, rechtstreeks of via onderstaand contactformulier.