Wat betekent de nieuwe wet Datalek Meldplicht?

Per 1 januari jongstleden is de nieuwe Wet Meldplicht Datalek van kracht geworden. Dit is een wijziging of uitbreiding op de al langer bestaande Wet Bescherming Persoonsgegevens.
Deze laatste wet is van toepassing voor iedereen die met persoonsgegevens werkt.

Wanneer u een webshop heeft of een website waarop bezoekers zich kunnen registreren is de kans groot dat deze wetswijziging gevolgen heeft voor u. Een datalek kan namelijk een boete opleveren tot maar liefst € 810.000! In deze blogpost gaan we dieper in op de wijzigingen en met name de gevolgen voor uw website.

 

Waarom deze nieuwe wet ?

De Wet Bescherming Persoonsgegevens houdt in grote lijnen in dat u zorgvuldig omgaat met persoonsgegevens. Controle hierop en de handhaving hiervan gebeurt door de “Autoriteit Persoonsgegevens”; wellicht beter bekend als het CBP (College Bescherming Persoonsgegevens).

De wijzigingen hebben tot doel dat het lekken en onrechtmatige verwerking van persoonsgegevens gemeld moeten worden bij de Autoriteit Persoonsgegevens. Daarnaast mag de Autoriteit, als het lek het gevolg is van verwijtbare nalatigheid, een boete opleggen.

 

Meldplicht

De wet voorziet in het volgende stappenplan :

Beleidsregels Wet Meldplicht Datalekken

 

 

 

 

 

 

 

 

Aan de hand van dit stappenplan is eenvoudig na te gaan of er inderdaad een beveiligingsincident heeft voorgedaan en of het gemeld moet worden bij de Autoriteit Persoonsgegevens en eventueel de betrokkenen.

 

Melding bij Autoriteit Persoonsgegevens

Melding bij de Autoriteit Persoonsgegevens dient te gebeuren wanneer er sprake is van “persoonsgegevens van gevoelige aard of als er om een andere reden sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens”.

De Autoriteit Persoonsgegevens vermeld in de richtlijnen het voorbeeld van verlies van een USB-stick met daarop persoonsgegevens, diefstal van een laptop waarop verwerking van uw orders gebeurd of inbraak van een hacker. Let wel; wanneer er een lek in uw beveiliging zit hoeft u geen melding te doen. Er is dan nog geen sprake van dataverlies hoewel het wel een beveiligingsincident is.

De Autoriteit Persoonsgegevens omschrijft de meldplicht redelijk ruim. Er staat niet concreet omschreven wat “persoonsgegevens van gevoelige aard” zijn. Gelukkig gaan de beleidsregels hier verder op in. Zij geven concrete voorbeelden zoals ras, gezondheid, lidmaatschappen van vakverenigingen, politieke voorkeur maar ook financiële gegevens, verslavingen, gebruikersnamen en dergelijke.

De melding dient te gebeuren zonder vertraging en (ik citeer uit de beleidsregels) : “zo mogelijk niet later dan 72 uur na de ontdekking van het lek”.

Wellicht hebt u na die drie dagen na ontdekking nog niet de beschikking over alle relevante informatie. Dan dient u toch de melding te doen aan de hand van de gegevens die u hebt.

 

Melding bij betrokkenen

Een datalek wat gemeld moet worden bij de Autoriteit Persoonsgegevens hoeft niet automatisch gemeld te worden bij de betrokkenen. De beleidsregels geven aan dat u hiertoe verplicht bent, wanneer “het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Die afweging dient u zelf te maken.

 

Wat doet Autoriteit Persoonsgegevens met uw melding?

In beginsel is het uw eigen verantwoordelijkheid om de oorzaak van het datalek op te sporen en om maatregelen te treffen om herhaling te voorkomen. Ook is het uw eigen beslissing om al dan niet de betrokkenen te informeren. De Autoriteit Persoonsgegevens is uitsluitend toezichthouder en geeft geen ondersteuning.

De ontvangen meldingen stellen de Autoriteit in staat om deze te controleren. Zij zien er onder andere op toe dat betrokkenen toch geïnformeerd worden wanneer hiertoe aanleiding is. Dit kunnen ze doen middels een bindende aanwijzing. Het niet-nakomen daarvan kan worden bestraft met een bestuurlijke boete. Die boete kan dus oplopen tot € 810.000,00

Voorts kan het Autoriteit ook bestuurlijke boetes opleggen bij een overtreding van de Wet Bescherming Persoonsgegevens “die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid”.
Wat is in dit verhaal dan “ernstig verwijtbare nalatigheid”. Ook dat staat vermeld in de Beleidsregels. Hieronder wordt verstaan “grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen”. Hoe dat in de praktijk uit zal pakken is nog maar de vraag. Bent u “aanzienlijk onzorgvuldig” wanneer uw webshop niet de laatste versie draait? Wellicht wel.

 

Wat kunt u zelf doen om een datalek te voorkomen?

Het frappante is de Wet Bescherming Persoonsgegevens geen concrete voorbeelden of maatregelen noemt. Zie hiervoor ook de Wet Bescherming Persoonsgegevens artikel 13. Dit is dus ook aan uzelf om hierover beslissingen te nemen.

Om te zorgen dat uw data veilig is én blijft kunt u in ieder geval al onderstaande tips ter harte nemen:

    • Zorg dat uw website en de bijbehorende plugins altijd zijn bijgewerkt;
    • Draag zorg voor deugdelijke bescherming van uw e-mail, zeker wanneer u zaken per e-mail doet. Denk hierbij aan gebruik van een antivirus-oplossing, geen bijlagen openen van onbekenden en dergelijke;
    • Zorg ervoor dat u overal sterke wachtwoorden gebruikt. Gebruik niet hetzelfde wachtwoord voor meerdere websites. Dit verlaagt de kans op een inbraak;
    • Installeer een SSL-certificaat op uw webshop. Dit geeft privacy voor de gebruiker en beschermt de gegevensuitwisseling.

Hebt u vragen hierover ? Neem contact op met ons voor een periodieke beveiligingsscan of SSL-certificaat voor uw website.

 

Meer informatie kunt u ook vinden op :
Autoriteit Persoonsgegevens
Beleidsregels van Autoriteit Persoonsgegevens omtrent de meldplicht