Meldplicht datalekken Wet bescherming persoonsgegevens

Beleidsregels voor toepassing van artikel 34a van de Wbp

Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

Bij de beslissing of u een gebeurtenis die zich heeft voorgedaan moet melden aan de Autoriteit Persoonsgegevens, en eventueel daarnaast ook aan de betrokkene, moet u een aantal afwegingen maken. Het onderstaande schema geeft deze afwegingen weer.

Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker.

Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten.

Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.

U hoeft niet ieder datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet u denken aan:

Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. Maar let op: als de aard van de gelekte gegevens daar aanleiding toe geeft is het mogelijk dat u een datalek moet melden waar de persoonsgegevens van slechts één persoon bij betrokken zijn.

U moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar. Via dit webformulier kunt u de melding zo nodig aanvullen of intrekken.

Als u tot de conclusie komt dat u een datalek moet melden aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat u dit datalek ook moet melden aan de betrokkene. U moet hiervoor een aparte afweging maken.

De wet geeft aan dat u een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe van uit gaan dat u het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene.

Uw melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld, een gelekt wachtwoord te vervangen. De wet schrijft voor dat u de melding onverwijld moet doen. U moet daarbij rekening houden met het feit dat de betrokkene naar aanleiding van uw melding mogelijk maatregelen moet nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder u de betrokkene daarover informeert, hoe eerder deze in actie kan komen.

Als u passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten. Bij deze beschermingsmaatregelen moet u bijvoorbeeld denken aan cryptografische bewerkingen zoals encryptie en hashing. U moet per geval bepalen of de maatregelen die u heeft genomen voldoende bescherming bieden om de melding aan de betrokkene achterwege te kunnen laten.

De meldplicht datalekken uit de Wbp is niet van toepassing als de Wbp niet van toepassing is. Dit is bijvoorbeeld het geval als u uitsluitend voor persoonlijke of huishoudelijke doeleinden persoonsgegevens verwerkt.

Als u een aanbieder van een openbare elektronische communicatiedienst bent, dan heeft u te maken met twee meldplichten voor datalekken: de meldplicht in de Telecommunicatiewet (Tw) en de meldplicht in de Wbp. Valt een datalek (gedeeltelijk) onder de meldplicht datalekken uit de Tw? Ook dan moet u het datalek melden aan de Autoriteit Persoonsgegevens en mogelijk aan de betrokkene. In de Wbp zijn voorzieningen opgenomen om dubbele meldingen te voorkomen.

Als u een financiële onderneming bent zoals bedoeld in de Wet op het financieel toezicht (Wft), dan is de verplichting uit de Wbp om datalekken te melden aan de betrokkene niet op u van toepassing. Als u de betrokkenen informeert, doet u dat op grond van uw zorgplicht als financiële onderneming.

Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.1De bedragen in artikel 23, vierde lid, van het Wetboek van Strafrecht worden elke twee jaar aangepast aan de ontwikkeling van de consumentenprijsindex. Dit betekent dat per 1 januari 2018 een ander bedrag kan gelden. Indien de overtreding niet opzettelijk is gepleegd en er geen sprake is van ernstig verwijtbare nalatigheid, dan zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen voorafgaand aan eventuele oplegging van een bestuurlijke boete. Bij het opleggen van een bestuurlijke boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval kan bestaan uit het feit dat de gegevens waarover het gaat niet door derden zijn ingezien.

Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan de Autoriteit Persoonsgegevens, en in bepaalde gevallen ook aan de betrokkene. De betrokkene is degene van wie persoonsgegevens zijn gelekt.

De bedrijven, overheden en andere organisaties tot wie de meldplicht datalekken zich richt moeten zelf een beredeneerde afweging maken of een concreet datalek dat hen ter kennis komt onder het bereik van de wettelijke meldplicht valt. Doel van deze beleidsregels is om hen daarbij te ondersteunen.2Kamerstukken II 2014/15, 33 662, nr. 11, blz. 2. Deze beleidsregels dienen tevens als uitgangspunt voor de Autoriteit Persoonsgegevens bij het toepassen van handhavende maatregelen.

Deze beleidsregels gaan in op de meldplicht datalekken die is opgenomen in de Wbp. Aanbieders van openbare elektronische communicatiediensten hebben te maken met twee meldplichten voor datalekken: de onderhavige meldplicht, en de al langer bestaande meldplicht voor datalekken die is opgenomen in de Telecommunicatiewet (Tw). De meldplicht datalekken in de Tw komt voort uit Europese regelgeving, en de Europese verordening 611/2013 vult de regels uit deze meldplicht nader in. Onder meer geeft deze verordening aan op welke termijn een datalek aan de toezichthouder moet worden gemeld, welke informatie daarbij moet worden verstrekt en hoe de betrokkene moet worden geïnformeerd over het datalek. Verder is de meldplicht aan de betrokkene door de samenwerkende Europese privacy-toezichthouders nader uitgewerkt in een advies, met daarin een aantal uitvoerig geannoteerde voorbeelden.3Artikel 29-Werkgroep, Advies 03/2014 over kennisgeving bij inbreuken in verband met persoonsgegevens, goedgekeurd op 25 maart 2014. Deze beleidsregels gaan niet inhoudelijk in op de meldplicht uit de Tw. Wel sluiten deze beleidsregels waar mogelijk aan op de bestaande invulling van deze meldplicht.

Deze beleidsregels treden in werking met ingang van 1 januari 2016, zijnde de datum van inwerkingtreding van de meldplicht datalekken.

In de loop van 2017, of wanneer het aantal ontvangen meldingen daar aanleiding toe geeft, zullen deze beleidsregels worden geëvalueerd en waar nodig aangepast. Er zal dan opnieuw een consultatie plaatsvinden.

Meer informatie over de beveiliging van persoonsgegevens en over de meldplicht voor datalekken vindt u op de website van de Autoriteit Persoonsgegevens.4autoriteitpersoonsgegevens.nl.

Het onderstaande schema geeft per onderwerp de relevante hoofdstukken in deze beleidsregels weer.

Behalve de onderdelen die in het bovenstaande schema zijn weergegeven, bevatten deze beleidsregels een aantal bijlagen. In bijlage 1 bij deze beleidsregels vindt u een overzicht aan van de gegevens die u in de melding moet verstrekken. Bijlage 2 geeft de volledige tekst weer van de wetsartikelen die in deze beleidsregels worden geciteerd.

Waar in deze beleidsregels wordt gesproken over de 'meldplicht uit de Wbp' wordt gedoeld op de meldplicht datalekken die is opgenomen in artikel 34a Wbp en waaraan wordt gerefereerd in artikel 14 Wbp, en niet op de meldplicht voor verwerkingen van persoonsgegevens uit de artikelen 27, 28, 29 en 30 Wbp.

1. Is de meldplicht datalekken uit de Wbp op mij van toepassing?

Het onderstaande schema geeft de vragen weer die u moet beantwoorden om vast te stellen of de meldplicht datalekken uit de Wbp op u van toepassing is. Iedere vraag uit het schema correspondeert met een paragraaf uit het vervolg van dit hoofdstuk.

In dit hoofdstuk worden begrippen zoals 'persoonsgegevens', 'verwerking' en 'verantwoordelijke' gebruikt. Deze termen uit de Wbp worden in de volgende paragrafen kort toegelicht. Meer informatie over de Wbp en over de betekenis van deze termen vindt u op de website van de Autoriteit Persoonsgegevens.5autoriteitpersoonsgegevens.nl.

1.1. Is er sprake van verwerking van persoonsgegevens?

Als er geen sprake is van verwerking van persoonsgegevens, dan is de meldplicht datalekken niet van toepassing.

Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare persoon (artikel 1, sub a, Wbp). Een persoon is identificeerbaar indien zijn identiteit redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden. Er kan een onderscheid worden gemaakt in direct en indirect identificerende gegevens. Direct identificerende gegevens zijn gegevens die betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig is vast te stellen, zoals een naam, eventueel in combinatie met het adres en de geboortedatum. Van indirect identificerende gegevens is sprake wanneer gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.

Een gegeven is geen persoonsgegeven, indien doeltreffende technische en organisatorische maatregelen zijn getroffen waardoor een daadwerkelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten (anonimisering).

Het toepassen van cryptografische bewerkingen zoals encryptie of hashing op identificerende gegevens leidt tot pseudonimisering (het vervangen van een identificerend gegeven door een ander identificerend gegeven) maar niet tot anonimisering. Een voorbeeld van een dergelijke bewerking is het versleutelen of hashen van klantnummers. Als verantwoordelijke bent u, ook na de encryptie of hashing, nog steeds in staat om de betrokkene te identificeren. Er is dus nog steeds sprake van persoonsgegevens. Wel is pseudonimisering een waardevolle beveiligingsmaatregel die bij een datalek de kans op daadwerkelijk misbruik van de gelekte persoonsgegevens aanzienlijk kan verlagen.

Het verwijderen van de direct identificerende gegevens biedt op zichzelf niet altijd voldoende garantie dat er geen sprake meer is van persoonsgegevens. Door middel van spontane herkenning, vergelijking van gegevens en/of koppeling aan gegevens uit een andere bron, kan immers desondanks, soms zonder bijzondere inspanning, identificatie tot stand worden gebracht. Verder moet bij anonimisering rekening worden gehouden met de stand van de techniek. Wat bij een bepaalde stand van de techniek als anoniem kan worden beschouwd, aangezien het gegeven niet redelijkerwijs tot een persoon te herleiden is, kan door technische ontwikkelingen alsnog een persoonsgegeven worden gelet op de toegenomen mogelijkheden tot herleiding.

Verwerking van persoonsgegevens betreft elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Hieronder valt in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (artikel 1, sub b, Wbp).

1.2. Ben ik de verantwoordelijke voor de verwerking of diens vertegenwoordiger?

De meldplicht datalekken richt zich tot de verantwoordelijke voor de verwerking van persoonsgegevens.

De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, sub d, Wbp). Het gaat hierbij om de vraag wie uiteindelijk bepaalt welke verwerking er plaatsvindt van welke persoonsgegevens en voor welk doel. Ook is van belang wie er beslist over de middelen voor die verwerking: de vraag op welke manier de gegevensverwerking zal plaatsvinden. Deze bevoegdheden kunnen soms in verschillende handen liggen. In dat geval is er sprake van gezamenlijke verantwoordelijkheid.

Als een verantwoordelijke van buiten de Europese Unie persoonsgegevens verwerkt, en de Wbp van toepassing is op deze verwerking, dan moet de verantwoordelijke in Nederland een persoon of instantie aanwijzen die namens hem de verplichtingen uit de Wbp nakomt. Voor de toepassing van de Wbp en de daarop berustende bepalingen, wordt deze persoon of instantie aangemerkt als de verantwoordelijke.

1.3. Is de Wbp van toepassing op de verwerking?

De meldplicht datalekken uit de Wbp is uitsluitend van toepassing op verwerkingen waarop de Wbp van toepassing is.

Voor de vraag of de Wbp van toepassing is op een verwerking van persoonsgegevens, zijn twee elementen van belang. Ten eerste moet u kijken naar de aard en de doelstelling van de verwerking. Bepaalde verwerkingen vallen door hun aard of hun doelstelling buiten de reikwijdte van de Wbp en op deze verwerkingen is de meldplicht datalekken niet van toepassing. Ten tweede is het van belang waar de activiteiten plaatsvinden waarvoor de persoonsgegevens worden verwerkt, en waar de al dan niet geautomatiseerde middelen zich bevinden die bij de verwerking worden gebruikt. Mogelijk is de privacywetgeving van een ander Europees land van toepassing op de verwerking of valt de verwerking niet onder de Europese privacywetgeving. Ook in deze situaties is de meldplicht datalekken uit de Wbp niet van toepassing.