Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Vijf misverstanden over de meldplicht datalekken

30 december 2015 Door

Juridisch Product

Hoge boetes voor datalekken voorkomen? Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Wie data laat lekken of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, maakt kans op een boete. Deze boetes kunnen per overtreding oplopen tot € 820.000 of 10% van de jaaromzet.

Het einde van het jaar is in zicht, maar daarmee ook direct de inwerkingtreding van de meldplicht datalekken. Organisaties worden per 1 januari 2016 verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens en in sommige gevallen ook aan betrokkenen. Gelet op verschillende opinies en vragen die bij ons binnen komen blijken er nogal wat misverstanden te bestaan over deze meldplicht. Wij zetten er vijf op een rij.

Update: Met de intreding van de Algemene Verordening Gegevensbescherming (AVG) komen er nieuwe regels voor datalekken en de registratie.

1. Vernietiging van gegevens kan nooit een datalek zijn.

Een veelgehoord argument. Immers, als de gegevens vernietigd zijn kunnen ze ook niet in handen van kwaadwillenden vallen. Dat klopt. Echter, vernietiging van persoonsgegevens kan wel nadelige gevolgen hebben voor betrokkenen en wordt daarom door de toezichthouder aangemerkt als datalek.

2. De melding moet binnen 24 uur / twee werkdagen worden gedaan.

Dit is onjuist. De termijn van 24 uur kwam ik in een blog tegen en de termijn van twee werkdagen heeft in de conceptversie van de richtsnoeren van de toezichthouder gestaan. De wet stelt dat het datalek onverwijld gemeld dient te worden. In de definitieve versie van de richtsnoeren, die nu beleidsregels worden genoemd, is een termijn van 72 uur opgenomen. De toezichthouder legt uit dat onverwijld betekent dat je eerst enige tijd mag nemen voor nader onderzoek. Overigens kun je een lek ook na 72 uur nog melden, mits je gemotiveerd kunt betogen waarom je langer nodig hebt gehad.

3. Niet voldoen aan de meldplicht kan een boete van € 810.000,- opleveren.

Dat is niet helemaal juist. Los van het feit dat de maximale boetebevoegdheid € 820.000,- gaat zijn (artikel 23 lid 4 Wetboek van Strafrecht wordt per 1 januari 2016 eveneens aangepast, de boetes gaan omhoog), heeft de toezichthouder boetebeleidsregels uitgevaardigd. In deze beleidsregels zijn overtredingen van de Wbp per categorie ingedeeld. De toezichthouder kan een maximale boete van € 820.000,- opleggen, maar zal voor het niet voldoen aan de meldplicht een boete van de tweede categorie opleggen. Dat komt neer op een bedrag tussen de € 120.000,- en € 500.000,- per overtreding. Je kunt twee boetes verwachten als je ‘vergeet’ om een melding aan zowel de toezichthouder als de betrokkenen te doen.

Let wel, dit is gebaseerd op de consultatieversie van deze beleidsregels. Wellicht dat de definitieve versie hier verandering in gaat brengen.

4. De melding kan uitsluitend op schrift gedaan worden.

Een vaker gehoorde stelling, eveneens terug te lezen in het eerder genoemde blogbericht, is dat de melding uitsluitend op schrift gedaan kan worden. Ook dit is (gelukkig) een misverstand. De toezichthouder stelt een webformulier ter beschikking waarmee een melding gedaan kan worden. Kun je dat formulier, om wat voor reden dan ook, niet gebruiken, dan kun je volstaan met een fax (ja, echt).

5. Als bewerker heb je ook een meldplicht.

Alleen de verantwoordelijke voor de gegevensverwerking is verplicht om de melding aan de toezichthouder en eventueel aan de betrokkenen te doen. Toch vervult een bewerker een belangrijke rol in het doen van een melding. Een bewerker kan namelijk degene zijn die het lek als eerste constateert. In dat geval is het aan de verantwoordelijke om zorg te dragen dat de bewerker verplicht wordt om een dergelijk lek zo snel mogelijk aan hem door te geven. Dat dient vastgelegd te worden in een bewerkersovereenkomst.

Meer weten over deze meldplicht? Lees onze factsheet, of de uitgebreide beleidsregels van het CBP.

 

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Peter Kager

Directeur ICTRecht Privacy

Peter is directeur van ICTRecht Privacy. Peter staat opdrachtgevers bij op het gebied van privacy, cookies, e-commerce, consumentenrecht en webdevelopment. Hoewel het juridische aspect hierbij centraal staat, maakt Peter dagelijks de koppeling met de praktische kant door het opstellen van adviezen en overeenkomsten, het begeleiden van samenwerkingen en het geven van trainingen en lezingen.