2016: Persoonsgegevens & Wet Datalekken

Vrijwel alle organisaties (bedrijven, overheden en instellingen) slaan persoonsgegevens op. Hierdoor bevinden allerlei persoonlijke gegevens zich in honderden tot soms wel duizenden bestanden van talloze organisaties.

Het recht op bescherming van de persoonlijke levenssfeer is een grondrecht. De hieruit voortvloeiende bescherming van persoonsgegevens, is in Nederland geregeld in de Wet bescherming persoonsgegevens (Wbp). De Wbp verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen.

Wat zijn persoonsgegevens?

Volgens de Wbp is elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon een persoonsgegeven. Oftewel, alle informatie welke herleidbaar is tot een nog levende persoon. Denk hierbij onder andere aan NAW, postcode en huisnummer, telefoonnummer, etc.

Gevoelige gegevens, zoals bijvoorbeeld iemands ras, godsdienst of gezondheid, zijn bijzondere persoonsgegevens en worden extra beschermd. 

Wat zijn passende technische en organisatorische maatregelen?

Organisaties dienen de risico’s op inbreuken op de bij hen aanwezige persoonsgegevens in kaart te brengen. Vervolgens dient te worden bekeken welke moderne technieken en organisatorische afspraken er mogelijk en nodig zijn om deze gegevens tegen voornoemde risico’s te beschermen. Ook dienen er afspraken gemaakt te worden over hoe te handelen bij (signalen over) een eventuele inbreuk. Tot slot dient het voorgaande periodiek te worden geëvalueerd en indien nodig te worden bijgesteld. Een en ander dient bij voorkeur te worden uitgewerkt in een schriftelijk privacy protocol.

Het is hierbij van belang om niet alleen te kijken naar de organisatie zelf, maar ook naar alle derden die met toestemming van de organisatie met de persoonsgegevens werken. De organisatie is ook hiervoor namelijk eindverantwoordelijk.

2016: Meldplicht datalekken

Op 1 januari 2016 gaat de meldplicht datalekken in. Alle organisaties dienen, op straffe van een forse boete (tot wel € 810.000,- of als dat niet passend is zelfs 10% van de omzet), bij een ernstig datalek dit direct te melden bij het College Bescherming Persoonsgegevens (CBP), welke per 1 januari 2016 verder gaat onder de naam Autoriteit Persoonsgegevens (AP).

Er is kort gezegd sprake van een datalek, wanneer persoonsgegevens van een organisatie beschikbaar zijn voor derden die hiertoe geen toegang zouden mogen hebben. Hieronder vallen harde lekken (bijvoorbeeld een inbraak in een bestand met persoonsgegevens door een hacker, of een kwijtgeraakte USB-stick of gestolen laptop met persoonsgegevens daarop), maar ook minder harde lekken, zoals een onrechtmatige verwerking van de persoonsgegevens.

Ook met betrekking tot datalekken geldt dat niet enkel naar de eigen organisatie, maar ook naar alle derden die met toestemming van de organisatie met de persoonsgegevens werken, moet worden gekeken. Zoals reeds gezegd is de organisatie eindverantwoordelijk, ook voor het melden van datalekken bij deze derden en dus ook voor de boete indien dit niet of te laat gebeurd.   

Enkel ernstige datalekken dienen bij de AP te worden gemeld. Er is sprake van een ernstig datalek, indien het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als er een aanzienlijke kans bestaat dat dit gebeurt. Het AP heeft hiervoor een richtsnoer met beleidsregels opgesteld.

De betrokkenen (personen waarop de persoonsgegevens zien) behoeven in beginsel enkel te worden geïnformeerd indien een datalek waarschijnlijk ongunstige gevolgen voor hun persoonlijke levenssfeer heeft. Ook hiervoor heeft het AP beleidsregels opgesteld.

Dus: Zorg dat u de bij uw organisatie aanwezige persoonsgegevens goed beschermt en meld eventuele ernstige datalekken tijdig bij de AP. Werk het voorgaande bij voorkeur uit in een schriftelijk privacy protocol. Stel de bij u aanwezige persoonsgegevens enkel ter beschikking aan derden die het voorgaande ook goed geregeld hebben (u bent immers eindverantwoordelijk) en maak hierover duidelijke schriftelijke afspraken met hen. Werkt u met persoonsgegevens van een andere organisatie en vragen zij juist u hiervoor een overeenkomst te ondertekenen? Kijk dan alvorens u tekent goed welke verplichtingen, verantwoordelijkheden en aansprakelijkheden hier voor u in zijn opgenomen en of deze voor u realistisch zijn.

Vragen? Wij helpen u graag verder.

mr. René Halfens,
Advocaat