Meldplicht datalekken onder de Algemene Verordening Gegevensbescherming: wat verandert er?

Afgelopen maand publiceerde de Artikel 29 Werkgroep (“WP29”)* een richtsnoer voor de uitleg van de nieuwe meldplicht datalekken die met de Algemene Verordening Gegevensbescherming (“AVG”) wordt geïntroduceerd. Hoewel in Nederland al sinds 1 januari 2016 een meldplicht datalekken van kracht is, wordt deze onder de AVG strenger. In deze update bespreekt Ovidius de belangrijkste punten van de ‘nieuwe’ meldplicht.

Wat is een datalek?

Een datalek houdt in dat er bij een beveiligingsincident of persoonsgegevens verloren zijn gegaan, of niet kan worden uitgesloten dat persoonsgegevens onrechtmatig zijn verwerkt. Denk aan een gecrashte harde schijf waarvan geen back-up is gemaakt, een verkeerd geadresseerde e-mail of een door een virus getroffen bestand dat niet langer kan worden geopend.

De meldplicht onder de Wet bescherming persoonsgegevens (“Wbp”)

Onder de Wbp moet een datalek bij de Autoriteit Persoonsgegevens worden gemeld binnen 72 uur nadat het is ontdekt. De meldplicht is niet absoluut, maar geldt alleen voor datalekken die leiden tot een aanzienlijke kans op ernstig nadelige gevolgen, of ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens. Het is daarbij niet altijd nodig om ook de betrokkene in te lichten. Voor een uitgebreidere toelichting op de huidige meldplicht verwijzen we naar onze update van 20 maart 2016.

De meldplicht onder de AVG

Onder de AVG wordt de meldplicht strenger. Zo hanteert de AVG als uitgangspunt dat elk datalek moet worden gemeld, tenzij het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Datalekken die onder de Wbp niet gemeld hoefden te worden, moeten dat nu mogelijk wel.

De termijn voor melden blijft onder de AVG wel hetzelfde: 72 uur. Deze termijn gaat lopen op het moment dat de verantwoordelijke ‘op de hoogte is’ van het datalek. Volgens de WP29 moet dit begrip zo worden uitgelegd dat de verantwoordelijke redelijk zeker is dat er persoonsgegevens betrokken zijn bij een beveiligingsincident. Afhankelijk van de aard van het incident, mag de verantwoordelijke eerst (kort) de tijd nemen het incident te onderzoeken, om zo vast te stellen of er wel persoonsgegevens zijn gecompromitteerd. De termijn van 72 uur begint dan zodra dat initiële onderzoek is afgerond.

De termijn van 72 uur geldt ook als gebruik wordt gemaakt van een verwerkingsverantwoordelijke (lees: de bewerker). De AVG bepaalt daarom dat de verwerkingsverantwoordelijke op zijn beurt verplicht is om een datalek onverwijld bij de verantwoordelijke te melden. WP29 raadt verantwoordelijken dan ook aan om dit concreet vast te leggen in een bewerkersovereenkomst, zodat de verantwoordelijke aan zijn eigen meldplicht kan voldoen. De uiteindelijke verantwoordelijkheid voor een tijdige melding -en de gevolgen als dit niet gebeurt- ligt namelijk bij de verantwoordelijke.

Ook nieuw is de documentatieplicht: de verantwoordelijke moet alle datalekken die zich binnen zijn organisatie voordoen, intern vastleggen. Deze verplichting geldt ook als een datalek niet bij de Autoriteit Persoonsgegevens hoeft te worden gemeld. De WP29 merkt ter toelichting op dat zeker voor datalekken die niet worden gemeld, goed gedocumenteerd moet worden waarom dit volgens de verantwoordelijke niet nodig was. Zo kan de Autoriteit Persoonsgegevens controleren of aan de meldplicht is voldaan.

Hogere boetes

Op overtreding van de huidige meldplicht staan al hoge sancties. Die boetes worden nog hoger onder de AVG: dan kunnen ze oplopen tot maximaal twee procent (2%) van de jaarlijkse wereldwijde omzet, per overtreding, met een maximum van 20 miljoen euro. Bovendien kan een aanvullende boete van twee procent (2%) worden opgelegd als het datalek een symptoom is van een bredere tekortkoming in de beveiligingsmaatregelen. Of zulke hoge boetes daadwerkelijk zullen worden opgelegd, blijft de vraag. Hoewel de Autoriteit Persoonsgegevens al sinds 1 januari 2016 boetes kan geven, is dit vooralsnog niet gebeurd.

De advocaten van Ovidius adviseren graag over het opstellen van een bewerkersovereenkomst of een protocol met betrekking tot (melding van) datalekken.

 

*De WP29 is een Europees samenwerkingsverband van vertegenwoordigers van alle autoriteiten persoonsgegevens in de lidstaten. De WP29 publiceert regelmatig richtsnoeren en opinies over databescherming.