Meldplicht Datalekken: bent u er klaar voor?

Laatste update 29 juni 2022

Nog ruim een maand en dan is de Meldplicht Datalekken een feit. Per 1 januari 2016 is deze aanpassing van de Wet bescherming persoonsgegevens (Wbp) van kracht. Dit geeft veel organisaties de nodige actiepunten. Heeft u nog geen voorbereidingen getroffen of nog helemaal niet van de meldplicht gehoord? Dan is het de hoogste tijd om aan de slag te gaan.

In het kort
Wat is die meldplicht precies? Op zijn website schrijft het College bescherming persoonsgegevens (CBP): “Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het CBP zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).”

Van toepassing?
Allereerst is het natuurlijk de vraag of de meldplicht op uw organisatie van toepassing is. In de basis geldt: als voor of door uw organisatie persoonsgegevens worden verwerkt in Nederland, dan geldt de meldplicht voor u als u daarbij de zogenaamde verantwoordelijke bent. Dat bent u als u het doel van de verwerking en/of de middelen ervoor heeft bepaald. Onder het verwerken van persoonsgegevens verstaan we elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Kortom, de meldplicht is vrij algemeen van aard en de kans is groot dat deze ook op uw organisatie van toepassing is.

Wat is een datalek?
Bij een datalek denken we vaak aan het ongewenst openbaar worden van vertrouwelijke gegevens. Maar de wet hanteert een veel bredere definitie. Wettelijk bent u verplicht om “verlies of onrechtmatige verwerking” van persoonsgegevens te voorkomen met passende technische en organisatorische maatregelen. Een datalek is dus een incident waarbij de bescherming van persoonsgegevens is doorbroken en waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Dat kan van alles zijn: van het ‘op straat belanden’ tot het per ongeluk deleten van een belangrijk overzicht met persoonsgegevens, zonder dat er een reservekopie van het bestand is.

Of het betreffende datalek ook daadwerkelijk aan het CBP en de betrokkenen gemeld moet worden, hangt af van diverse factoren. De belangrijkste afweging is of er ernstige nadelige gevolgen voor de betrokkenen te verwachten zijn. Een nadere toelichting op wat een datalek is en wanneer en hoe u een lek moet melden, geeft het CBP in speciale richtsnoeren rond de meldplicht. Deze richtsnoeren zijn eerder in een consultatieversie (.pdf) gepubliceerd; binnenkort wordt de definitieve versie van het document verwacht.

Hoge boetes
Het niet nakomen van de meldplicht kan leiden tot hoge boetes. Hiertoe is de bestuurlijke boetebevoegdheid van het CBP uitgebreid. Zo zijn er boetemaxima gedefinieerd in verschillende categorieën, oplopend tot € 810.000,- of, als dat bedrag geen passende bestraffing toelaat, tot tien procent van de jaaromzet van de organisatie. Ook met betrekking tot de boetes heeft het CBP een consultatieversie van het boetebeleid(.pdf) gepubliceerd.

Hoe voldoet u aan de meldplicht?
Wat zijn de stappen die u als organisatie in ieder geval moet nemen om te voldoen aan de meldplicht? In mijn volgende blog beschrijf ik vijf concrete stappen rond de Meldplicht Datalekken.