-

Wijziging Wbp vanaf 2016: meldplicht datalekken, groter boeterisico bij schending privacyregels

Per 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp). De meest besproken wijziging ziet toe op de invoering van de zogenaamde meldplicht bij datalekken. Maar voor de praktijk misschien nog wel veel belangrijker: de boetebevoegdheden van het CBP worden aanzienlijk uitgebreid.

Privacywetgeving wordt steeds belangrijker

Privacybescherming wordt in het dagelijks (bedrijfs-)leven steeds belangrijker. De privacywetgeving beweegt daar – langzaam maar zeker – in mee. Wordt het College bescherming persoonsgegevens (CBP) nu vaak nog aangeduid als een ‘tandeloze tijger’, vanaf 1 januari 2016 moet daar (het begin van een) verandering in komen. Vanaf 1 januari 2016 heet het CBP de ‘Autoriteit persoonsgegevens’ en worden haar tanden gescherpt.

Een Autoriteit met tanden: hoge boetes

Onder de huidige Wbp heeft het CBP weinig boetebevoegdheid; dat gaat veranderen. Vanaf 1 januari kan de Autoriteit persoonsgegevens voor overtreding van vrijwel alle verplichtingen uit de Wbp boetes uitdelen. Als een overtreding niet opzettelijk of door enstig verwijtbare nalatigheid is begaan, legt Autoriteit eerst een ‘bindende aanwijzing’ op voordat een boete kan worden opgelegd.

De overtreder krijgt daarmee de gelegenheid om de overtreding weg te nemen, bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen. Het niet-naleven van een bindende aanwijzing kan direct worden bestraft met een boete die kan oplopen tot wel 810.000 euro of, indien dat geen passende bestraffing is, zelfs tien procent van de jaaromzet. Wordt de Wbp echter opzettelijk overtreden, dan kan dit direct tot een boete leiden.

Verplichtingen bij verwerking van persoonsgegevens

De Wbp bevat uiteenlopende verplichtingen telkens wanneer u persoonsgegevens ‘verwerkt’. Verwerken wordt breed gedefinieerd: niet alleen verzamelen en bewaren vallen hieronder, maar ook bijvoorbeeld het gebruiken, verspreiden en met elkaar in verband brengen van gegevens. Telkens als u iets doet met persoonsgegevens moet daarvoor een duidelijk en gerechtvaardigd doel bestaan.

Bovendien moet sprake zijn van een in de wet benoemde grondslag voor de verwerking, bijvoorbeeld toestemming van de betrokken persoon of het feit dat de verwerking noodzakelijk is voor de uitvoering van een overeenkomst met de betrokken persoon. De verwerking mag niet verder gaan dan strikt noodzakelijk voor het doel waarvoor u de gegevens heeft verkregen.

NAW-gegevens die u verkrijgt omdat iemand een bestelling bij u plaatst, mag u dus – zonder uitdrukkelijke toestemming – wel gebruiken om de bestelling uit te voeren, maar niet (zonder nadere toestemming) voor marketingdoeleinden.

Verder bepaalt de Wbp dat persoonsgegevens door middel van passende technische en organisatorische maatregelen dienen te worden beveiligd. De gegevens moeten in technische zin adequaat worden beschermd tegen toegang door derden.

Maar een organisatie moet er bijvoorbeeld ook intern voor zorgen dat gegevens die niet gebruikt mogen worden voor marketingdoeleinden, ook niet zomaar toegankelijk zijn voor de marketingafdeling. Al deze verplichtingen zijn voorbeelden van bepalingen waarvan een overtreding vanaf 2016 kan worden beboet.

Wet meldplicht datalekken

Met de Wet meldplicht datalekken wordt een nieuwe verplichting bij gegevensverwerking aan de Wbp toegevoegd. Bepaald wordt dat melding moet worden gemaakt van iedere inbreuk op de (technische of organisatorische) maatregelen ter beveiliging tegen verlies of onrechtmatige verwerking van persoonsgegevens.

Bij een inbreuk kan worden gedacht aan een hack of een technisch falen, maar ook aan verlies of diefstal van een laptop waarop persoonsgegevens staan. Een ‘datalek’ kan dus in vele vormen voorkomen. De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop).

Of daarvan sprake is, moet u zelf beoordelen, maar de Autoriteit geeft wel (op dit moment nog niet-definitieve) richtsnoeren. Zijn de gelekte gegevens van gevoelige aard, dan zal dat vrijwel altijd aanleiding zijn om te melden.

Melden aan de Autoriteit en aan de betrokkene

De melding dient te worden gedaan aan de Autoriteit persoonsgegevens. Daarbij moet niet alleen worden gemeld om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft, maar ook welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen.

Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet u ook de betrokkene in kennis stellen van het lek. Indien gelekte gegevens (afdoende) versleuteld zijn, hoeft geen melding te worden gemaakt aan de betrokkene, maar wel aan de Autoriteit.

Uitbesteding van gegevensverwerking

Zowel de verplichting om te zorgen voor een gedegen beveiliging van de persoonsgegevens als de verplichting om het te melden als dat is misgegaan, rust op de verantwoordelijke in de zin van de Wbp. Dat is de entiteit die (formeel-juridisch) beslist welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.

Heeft u de gegevensverwerking uitbesteed aan een ander (bijvoorbeeld ICT-)bedrijf, dan is dat de bewerker. Het zal veelal de bewerker zijn die in de praktijk voor de beveiliging zorgt en die een datalek feitelijk ontdekt.

Wees u er echter van bewust dat bij een gebrekkige beveiliging het de verantwoordelijke is die het boeterisico loopt. Het is daarom van groot belang dat u zaken doet met een betrouwbare partij en dat u in de bewerkersovereenkomst goede afspraken maakt over de beveiliging en het melden van een datalek.

Privacycheck: is uw bedrijf voorbereid?

De inwerkingtreding van de besproken wetswijzigingen kan voor uw bedrijf aanleiding zijn om te beoordelen of het (nog) voldoet aan de privacyregels. Zonder uitputtend te (kunnen) zijn, zijn belangrijke vragen daarbij onder meer:

  • Verwerkt mijn bedrijf persoonsgegevens? Zo ja, is de verwerking gebaseerd op een wettelijke grondslag?
  • Bestaat voor de verwerking een vooraf bepaald, duidelijk en gerechtvaardigd doel? Is de verwerking ook beperkt tot dat doel?
  • Worden niet méér gegevens vewerkt dan noodzakelijk?
  • Worden de gegevens niet langer bewaard dan noodzakelijk? Het kan praktisch zijn een intern protocol op te stellen, waarmee wordt verzekerd dat gegevens tijdig en correct worden vernietigd.
  • Zijn de persoonsgegevens op passende wijze beveiligd, zowel in technische als organisatorische zin? Daarbij is ook van belang dat de gegevens intern binnen uw organisatie niet verder worden gedeeld dan nodig met het oog op het doel waarvoor ze verzameld zijn.
  • Heeft u de verwerking (gedeeltelijk) uitbesteed aan een derde of de gegevens (gedeeltelijk) extern opgeslagen? Zo ja, dan dient u een bewerkersovereenkomst te sluiten met deze derde.
  • Is er een protocol waarin wordt beschreven hoe wordt gehandeld bij een datalek?

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond