Wet meldplicht datalekken

Archief 2016

In de vorige editie van Samen Wijzer hebben we u geïnformeerd over de invoering van de Wet meldplicht datalekken. De afgelopen maanden kregen we hierover veel vragen. Logisch, want het is lastige materie. In dit artikel beantwoorden we daarom de belangrijkste vragen.

1. Wat is een datalek?

Volgens de wet is er sprake van een datalek als persoonsgegevens verloren raken of het onrechtmatig verwerken ervan redelijkerwijs niet kan worden uitgesloten. Onder onrechtmatig verwerken vallen onder meer het aanpassen en/of veranderen van persoonsgegevens, evenals het onbevoegd toegang hebben tot en afgeven van deze gegevens. Let wel: dat is een vrij brede definitie. Er is dus niet alleen sprake van een datalek wanneer een hacker toegang tot persoonsgegevens krijgt. Ook het verlies van een USB-stick met een medisch dossier of het sturen van een mailing met adressen in het CC-veld in plaats van het BCC-veld telt als datalek. Komen andere gegevens dan persoonsgegevens door verlies of diefstal in verkeerde handen, dan is er volgens de wet géén sprake van een datalek.

2. Wanneer moet ik een datalek melden aan de Autoriteit Persoonsgegevens?

De wet bepaalt dat alleen ‘ernstige’ datalekken bij de toezichthouder moeten worden gemeld. Een lek is ernstig als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Medische gegevens vallen hier per definitie onder.

3. Wanneer moet ik een datalek melden aan de betrokkenen?

Heeft het datalek waarschijnlijk ongunstige gevolgen, zoals identiteitsfraude, discriminatie en reputatieschade, voor het privéleven van de personen van wie de persoonsgegevens zijn gelekt? Dan dient u – naast uw melding aan de toezichthouder – het lek ook onverwijld te melden aan de getroffen personen. In uw geval zal het hierbij veelal om patiënten gaan. Zijn er kwalitatief ernstige gegevens (zie vraag 2) gelekt, dan is er eigenlijk altijd sprake van ongunstige gevolgen en zult u het datalek dus ook altijd aan de getroffen personen moeten melden.

4. Wanneer hoef ik een datalek niet te melden?

Een datalek dat voldoet aan het criterium van vraag 2, moet u altijd aan de toezichthouder melden. Het is daarbij niet relevant of het datalek is ontstaan door een eigen fout of door overmacht. U hoeft een datalek echter niet aan de getroffen personen te melden indien de gelekte data onleesbaar zijn. Dit is bijvoorbeeld het geval wanneer de persoonsgegevens zijn versleuteld of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop. U moet er dan uiteraard wél zeker van zijn dat niemand de gegevens heeft kunnen inzien. De bewijslast hiervoor ligt bij u.

5. Hoe moet ik een datalek te melden?

Heeft uw organisatie te maken gehad met een datalek, dan kunt u dit melden via het Meldpunt Datalekken van de Autoriteit Persoonsgegevens. Uw melding wordt dan opgeslagen in een niet-openbaar register van de toezichthouder. Mocht er naar aanleiding van het lek een boete worden opgelegd, dan is dit besluit wel openbaar. Wilt u een datalek melden van een organisatie die u niet vertegenwoordigt? Maak dan gebruik van het tipformulier.

6. Wanneer krijg ik een boete?

Sinds 1 januari 2016 kan de Autoriteit Persoonsgegevens boetes opleggen wanneer niet aan de wet wordt voldaan. Dit kan onder meer voor het:
  • niet melden van een datalek terwijl dat wel moet;
  • niet op orde hebben van de beveiliging;
  • verwerken van persoonsgegevens zonder toestemming;
  • exporteren van persoonsgegevens naar landen buiten de EU zonder dat goed te hebben geregeld.

Zo’n boete kan oplopen tot € 820.000,- of 10% van de jaaromzet. Vaak zal eerst een waarschuwing worden gegeven, maar de toezichthouder mag besluiten om direct een boete op te leggen wanneer sprake is van opzet of grove nalatigheid.

7. Hoe zit het met mijn ICT-leverancier en met ons HIS of EPD?

Vaak wordt de verwerking van persoonsgegevens uitbesteed aan een derde partij. Deze wordt door de wet aangeduid als ‘de bewerker’. Data kunnen hierdoor bijvoorbeeld toegankelijk zijn voor een clouddienstverlener die updates op software uitvoert of opgeslagen staan bij een hostingprovider. Een bewerker hoeft een datalek niet te melden bij de toezichthouder, maar moet er wél voor zorgen dat zijn klanten het datalek tijdig bij de toezichthouder kunnen melden. U zult daarom schriftelijke afspraken moeten maken waarin is vastgelegd op welke wijze u door de bewerker van een datalek op de hoogte wordt gesteld. Deze afspraken kunnen worden opgenomen in een bewerkersovereenkomst.

8. Wat kan ik zelf doen?

  • Inventariseer welke externe partijen uw data verwerken en controleer of met deze partijen een bewerkersovereenkomst is afgesloten;
  • Overtuig uzelf ervan dat externe partijen uw data veilig verwerken en controleer dit uiteraard ook binnen uw eigen organisatie;
  • Update de huidige bewerkersovereenkomsten met een bepaling omtrent datalekken;
  • Sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement) waarin u persoonsgegevens benoemt;
  • Hanteer intern een procedure voor het omgaan met – en melden van – datalekken;
  • Informeer bij uw verzekeraar of tussenpersoon of u bent verzekerd tegen de financiële gevolgen van het lekken van persoonsgegevens via (bijvoorbeeld) een Cyber- en Data Risks verzekering.

9. Wat dekt een Cyber & Data Risks verzekering?

Met een zogeheten Cyber & Data Risks verzekering kunt u een deel van de risico’s en kosten in het kader van de Wet meldplicht datalekken verzekeren. Deze verzekering biedt dekking voor de volgende risico’s:
  • Privacybescherming;
  • Kosten van inbreuk en forensisch onderzoek;
  • Stilstandsschade (vergelijkbaar met bedrijfsschade);
  • Aansprakelijkheid naar derden;
  • Schade door hackers;
  • Cyberafpersing.

Daarnaast heeft u recht op juridisch advies, ondersteuning bij risk management en – voor het geval er iets echt is misgegaan – operationele ondersteuning en hulp bij crisismanagement.

Meer weten?

Heeft u een vraag over de Wet meldplicht datalekken die in dit artikel niet is behandeld? Of wilt u meer weten over de Cyber & Data Risk verzekering? Neem dan vrijblijvend contact met ons op.

Meer informatie

Persoonlijk advies