Boetes en datalekken op grond van de Wet bescherming persoonsgegevens
Boetes en datalekken op grond van de Wet bescherming persoonsgegevens.
De afgelopen jaren zijn bij overheidsorganisaties steeds meer vragen gaan leven over de geldende en komende privacyregels. Capra heeft steeds vaker geadviseerd over de mogelijkheden en verplichtingen op grond van de Wet bescherming persoonsgegevens (Wbp) – denk aan de al dan niet rechtmatige verwerking van persoonsgegevens, de verplichting om een bewerkersovereenkomst te sluiten, de rechten van de betrokkenen en de benoeming van een functionaris voor de gegevensbescherming. Het is niet opmerkelijk dat er zoveel aandacht is voor privacy de laatste jaren, gelet op onder andere de Algemene verordening gegevensbescherming (oftewel de Europese privacyverordening) die al jaren in de maak is. Medio december 2015 hebben de Europese Commissie, het Parlement en de Raad een akkoord bereikt over de (tekst van de) verordening. De verwachting is op dit moment dat deze over grofweg een jaar of twee in werking treedt.
Ook is de Wbp sinds 1 januari 2016 gewijzigd naar aanleiding van een groot aantal incidenten, waarbij door een inbreuk op de beveiliging van, onder meer, websites persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer. De Wbp regelt nu, in artikel 34a, de zogenaamde meldplicht datalekken en ook is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. PwC heeft afgelopen januari geconstateerd dat veel organisaties niet goed zijn voorbereid op de nieuwe regels. Ik zal hierna heel kort ingaan op enkele aspecten van de uitgebreide boetebevoegdheid en de meldplicht datalekken.
Boetebevoegdheid Autoriteit Persoonsgegevens
Of organisaties er klaar voor zijn of niet, de Autoriteit Persoonsgegevens kan nu in ieder geval bij overtreding van bijna elke bepaling van de Wbp (onder meer alle hoofdverplichtingen van de verantwoordelijke zoals bedoeld in de wet) een bestuurlijke boete opleggen. De boetes kunnen oplopen tot maximaal € 820.000 of 10% van de netto-omzet van de (rechtspersoon van de) overtreder. Wel volgt uit de wet dat de Autoriteit Persoonsgegevens in de meeste gevallen eerst een bindende aanwijzing moet geven, alvorens een boete wordt opgelegd. In de bindende aanwijzing zal de Autoriteit Persoonsgegevens moeten aangeven welke gedraging op grond van de wet van de overtreder wordt verwacht. Zo mogelijk moet aan de overtreder worden opgedragen de overtreding, al dan niet gedeeltelijk, te herstellen. De Autoriteit Persoonsgegevens kan aan het opvolgen van de aanwijzing een termijn verbinden. Als de aanwijzing vervolgens niet wordt opgevolgd, is de Autoriteit Persoonsgegevens om die reden al bevoegd om een boete op te leggen. De verplichting van de bindende aanwijzing geldt niet, als de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 is de uitgebreide boetebevoegdheid nader uitgewerkt – door middel van een categorie-indeling en bandbreedte systematiek. De toelichting vermeldt het volgende:
“De beboetbare bepalingen op de naleving waarvan de Autoriteit Persoonsgegevens toezicht houdt, zijn per wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500 ingedeeld in een aantal boetecategorieën, en daaraan verbonden in hoogte oplopende boetebandbreedtes.
De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, waarbij categorie I de minst zware overtredingen bevat en categorie II of III de zwaarste overtredingen.”
Als er een overtreding is vastgesteld, wordt er eerst een zogenaamde basisboete bepaald en vervolgens kan de boete worden verlaagd of verhoogd, al naar gelang de ernst van de overtreding.
Meldplicht datalekken
Ook bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Voor de toepassing van artikel 34a Wbp zijn tevens beleidsregels opgesteld. De verantwoordelijke zoals bedoeld in de Wbp heeft de meldplicht. Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Tevens moet er een inbreuk op de beveiliging zijn, waarbij het gaat om de beveiliging die op grond van de wet is verplicht. Een zwakke beveiliging levert dus niet per definitie een datalek op. Die inbreuken, oftewel datalekken, moeten worden gemeld en gedocumenteerd. Denk hierbij aan bijvoorbeeld het verliezen van een mobiele telefoon, USB-stick, sleutelbos of keycard, ongeautoriseerde inzage in persoonsgegevens, het delen van privacygevoelige informatie in een publieke ruimte, brand of andere vernietiging van gegevens, het onbeveiligd zenden van een e-mailbericht naar een verkeerd e-mailadres, een hack, et cetera.
Maar niet elk datalek moet gemeld worden. Een datalek moet onverwijld worden gemeld aan de Autoriteit Persoonsgegevens, als er een aanzienlijke kans bestaat op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Kortom, ernstige datalekken moeten worden gemeld. Hierbij dient ook rekening te worden gehouden met de aard van de gegevens. Een datalek kan worden gemeld via een webformulier. Na het ontdekken van een mogelijk datalek, mag er enige tijd worden genomen voor een nader onderzoek, om een onnodige melding te voorkomen. De termijn begint te lopen zodra de verantwoordelijke, of de ingeschakelde bewerker, op de hoogte raakt van een mogelijke datalek. De verantwoordelijke moet toezien op naleving door de bewerker. In de wet is niet voorgeschreven welke afspraken er met een bewerker moeten worden gemaakt, maar in de beleidsregels staat terecht dat in ieder geval gedacht moet worden aan het volgende:
- Gaat de bewerker u daadwerkelijk informeren over alle relevante incidenten?
- Gaat de bewerker eventueel zelf meldingen doen aan de Autoriteit Persoonsgegevens?
- Ontvangt u per incident alle informatie die u nodig heeft?
- Hoe gaat de bewerker u informeren over de incidenten?
- Wordt u tijdig geïnformeerd over de incidenten?
- Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die de bewerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen?
- Kunt u vaststellen dat u daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt?
Zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, moet de melding op grond van de beleidsregels worden gedaan, tenzij dan inmiddels uit het onderzoek is gebleken dat de meldplicht niet aan de orde is. Als er op dat moment nog geen volledig zicht bestaat op wat er gebeurd is en om welke persoonsgegevens het gaat, kan de melding op een later moment worden aangevuld. Als het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de betrokkenen van wie de gegevens gelekt zijn, moet het datalek ook onverwijld worden gemeld aan deze betrokkenen.
Hoe een en ander zal uitpakken in de praktijk is nog even afwachten. De Autoriteit Persoonsgegevens zal zich in 2016 in ieder geval op hoofdlijnen richten op dezelfde prioriteiten als de jaren hiervoor, te weten onder andere de beveiliging van persoonsgegevens, persoonsgegevens bij de (digitale) overheid, medische gegevens en persoonsgegevens in de arbeidsrelatie. Dus staat de meldplicht datalekken, logischerwijs, op de agenda dit jaar. Capra staat u uiteraard graag bij, als u bijvoorbeeld nog vragen heeft over de wijzigingen in de Wbp per 1 januari 2016, een juridische check wilt uitvoeren naar aanleiding van de nieuwe regels, of de bewerkersovereenkomsten nog moet aanpassen.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.