Woensdag 2 maart 2016

Meldplicht datalekken: Het eind van de tandeloze tijger?

Delen en verspreiden van data is nog nooit zo makkelijk geweest. Een druk op de knop en al jouw gevoelige gegevens liggen prompt op straat. Persoonsgegevens en andere data zijn dan ook met de komst van het internet steeds moeilijker geheim te houden.
Voor 1 januari 2016 bestond er geen verplichting voor organisaties om verlies van data te melden aan de toezichthouder en eventueel aan betrokkenen. Ook had het College bescherming persoonsgegevens (nu: Autoriteit Persoonsgegevens) nauwelijks boetebevoegdheden en werd het voor 1 januari 2016 veelal aangeduid als een ‘tandeloze tijger’.(( http://kvdl.nl/nieuws/wet-meldplicht-datalekken-en-uitbreiding-boetebevoegdheid-cbp-1-januari-2016-van-kracht.)) Een boete van maximaal 4.500 euro, het maximale boetebedrag vóór 1 januari 2016, is voor sommige organisaties immers een schijntje. Bovendien kon deze boete slechts bij overtreding van een administratief voorschrift worden opgelegd, bijvoorbeeld bij het nalaten van de verplichting om verwerking van persoonsgegevens te melden. Deze situatie is veranderd op 1 januari 2016. Deze aanpassing is een voorbereiding op de van kracht zijnde Algemene Verordening Gegevensbescherming, waarvan de implementatietermijn nog loopt.((Nederland heeft tot eind 2017 om aan de Verordening te voldoen.))
Op 1 januari is aan de Wet bescherming persoonsgegevens (hierna: Wbp) een meldplicht datalekken toegevoegd, oftewel een maatregel voor ‘inbreuken op beveiligingsmaatregelen voor persoonsgegevens’.((https://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en.)) Ook heeft het CBP (nu: AP) een uitbreiding van de boetebevoegdheid gekregen. Maar wat houdt deze meldplicht eigenlijk in? Wanneer is er nu eigenlijk sprake van een datalek en welke nieuwe bevoegdheden en verplichtingen vloeien voort uit de nieuwe Wbp?
Een korte uiteenzetting wat de nieuwe meldplicht gaat betekenen voor organisaties zal in dit artikel worden weergegeven. Voor het doel van dit stuk zal de AVG niet besproken worden maar slechts de feitelijke situatie zoals die geldt vanaf 1 januari 2016 en de nieuwe Wbp.

Voor wie geldt de nieuwe wet?

De aanpassing zal gaan gelden voor de ‘verantwoordelijke’ zoals gedefinieerd in de Wbp.
Deze ‘verantwoordelijke’ is volgens de Wbp ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’.((Art 1 sub d Wbp.)) Zo kan een huisarts die belast is met de verwerking van (privacygevoelige) gegevens van zijn patiënten als de verantwoordelijke worden gezien. Verder noemt de Wbp nog de rollen ‘betrokkene’ en ‘bewerker’.((respectievelijk in art 1 sub e en art 1 sub d Wbp.)) In het voorbeeld van de huisarts is de patiënt de betrokkene. De bewerker is een derde persoon die in opdracht van de verantwoordelijke de gegevens verwerkt. In het voorbeeld van de huisarts moet men dan denken aan een derde partij die de nota’s afwikkelt voor de huisarts.. Een verwerking omvat elke handeling met betrekking tot de persoonsgegevens. De Wbp eist in artikel 14 dat er in een overeenkomst afspraken gemaakt dienen te worden over verwerking en uitvoering door de bewerker. De groep voor wie deze nieuwe aanpassing geldt is dus tamelijk breed. Deze aanpassing geldt zowel voor overheidsinstanties als elke andere verantwoordelijke.
Volgens artikel 13 Wbp moet de verantwoordelijke passende maatregelen nemen om verlies of onrechtmatige verwerking van gegevens tegen te gaan. Deze maatregelen moeten, gelet op de huidige stand van de techniek, een passend beschermingsniveau bieden. Deze maatregelen behelzen zowel organisatorische als technische maatregelen. Slagen deze maatregelen niet en wordt er toch onbedoeld data prijsgegeven aan derden die hier niet over hoorden te beschikken, dan kan er sprake zijn van een datalek.

Wanneer is er sprake van een datalek?
Een verantwoordelijke kan door een hack gegevens (ongewild) blootstellen aan derden die hier normaliter geen toegang tot zouden mogen hebben, of een werknemer kan een laptop of USB-stick laten liggen waar gegevens op terug te vinden zijn. In de meeste gevallen zal het echter gaan om uitgelekte computergegevens.((
http://www.justitia.nl/privacy/datalekken.html.)) Volgens het nieuwe artikel 14 van de Wbp leidt een datalek echter niet altijd tot een meldplicht. Dit zal slechts het geval zijn wanneer er een inbreuk is gemaakt op de beveiligingsmaatregelen zoals in artikel 13 Wbp beschreven, en deze leidt tot ‘’de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt’’.((art. 14 lid 1 Wbp.)) Of er ‘ernstige nadelige gevolgen’ te verwachten zijn is in principe aan de verantwoordelijke zelf om te bepalen. Het CBP (nu: AP) heeft richtsnoeren opgesteld die kunnen helpen bij de beoordeling of er sprake is van een datalek. Zo zal bij een hack er eerder gevaar op de loer liggen omdat dit veelal gerichte aanvallen op gegevens zullen zijn, dan dat zich dit gevaar voordoet bij het kwijtraken van een USB-stick. Wat gaat er nu veranderen voor organisaties? Sinds de per 1 januari geldende wet Datalekken en uitbereiding boetebevoegdheid, zijn een paar stukken toegevoegd aan de Wbp die gevolgen zullen hebben voor organisaties.
Achtereenvolgend zullen de meldplicht en de nieuwe boetebevoegdheid besproken worden.

Meldplicht.
De meldplicht is terug te vinden in artikel 34a Wbp. Hierbij zijn twee meldplichten geïntroduceerd. De verantwoordelijke dient onverwijld een melding te doen aan de Autoriteit Persoonsgegevens. De melding dient te worden gedaan aan de Autoriteit wanneer er sprake is van een datalek waarbij ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt’ bestaat en dient tevens een melding te doen aan de betrokkene voor zover dit ongunstige gevolgen zou hebben voor diens persoonlijke levenssfeer. Zoals eerder vermeld zal niet elke datalek leiden tot een verplichting voor de verantwoordelijke om een melding te doen aan hetzij de betrokkene hetzij de Autoriteit. Het is voorstelbaar dat deze bepalingen voor interpretatie vatbaar zijn. De termen ‘aanzienlijke kans’ en ‘ernstig nadelige gevolgen’ alsmede ‘ongunstige gevolgen’ voor de persoonlijke levenssfeer zijn geen objectief bepaalbare termen.

Boetebevoegdheid

Om er voor te zorgen dat de Autoriteit Persoonsgegevens niet langer een ‘tandeloze tijger’ blijft, is de boetebevoegdheid fors uitgebreid. In artikel 66 Wbp wordt de nieuwe boetebevoegdheid uiteengezet, en dit blijft zeker niet beperkt tot het nalaten van een melding aan de betrokkene of het College als bedoeld in 34a Wbp, maar eigenlijk tot elke plicht die de Wbp voorschrijft.((Artikel 66 lid 1 en 2 Wbp beschrijven plichten die bij overtreding een boetebevoegdheid opleveren.)) Zo is het niet voldoen aan de beveiligingsplicht of het verwerken van persoonsgegevens zonder rechtmatige grondslag ook een reden om een boete opgelegd te krijgen. Het maximumboetebedrag is tevens verhoogd van 4.500 euro naar 810.000 euro, of, wanneer dat hoger is, 10% van de jaarlijkse omzet. De Autoriteit deelt de boetes op in schalen. Overtredingen van specifieke bepaling van de Wbp en welke schaal boete daarbij hoort zijn te vinden in de Boetebeleidsregels Autoriteit Persoonsgegevens.(( https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebeleidsregels_cbp_def_consultatieversie.pdf.)) De Autoriteit kan echter ook besluiten een boete van 10% van de jaaromzet op te leggen. Dit kan alleen wanneer ook een boete van 810.000 euro kon worden opgelegd, maar dit volgens de Autoriteit geen passende bestraffing oplevert.((art 7.2 Boetebeleidsregels Autoriteit Persoonsgegevens.)) Deze situatie is denkbaar bij grote multinationals waarbij een boete van 810.000 euro niet als sanctie zal worden ervaren omdat deze boete in het niet valt bij een miljardenomzet. Boetes kunnen echter niet eerder dan na een bindende aanwijzing worden opgelegd.((Artikel 66 lid 3 Wbp.)) Dit is echter weer anders wanneer de overtreding opzettelijk is gepleegd of wanneer er sprake is van ernstig verwijtbare nalatigheid.((Artikel 66 lid 4 Wbp)).

Een tandeloze tijger?

Het CBP lijkt dus niet langer de tandeloze tijger te zijn dat het voorheen was. De verplichte invoering van de meldplicht is eigenlijk nog maar het puntje van de ijsberg die het CBP zijn tanden teruggeeft. De boetebevoegdheid bij het niet nakomen van de verplichtingen die de Wbp stelt en tevens de verhoging van het mogelijke boetebedrag lijken eindelijk zoden aan de dijk te zetten. Deze wetswijziging lijkt de toenemende vraag naar de bescherming van onze gegevens te beantwoorden. Er is echter ook kritiek; het CBP heeft weliswaar een scala aan nieuwe bevoegdheden ontvangen maar het budget voor handhaving is er niet groter op geworden. Jacob Kohnstamn, voorzitter van het CBP, denkt de nieuwe bevoegdheden met de huidige bezetting niet aan te kunnen.(( http://www.nrc.nl/next/2015/12/30/privacy-kan-mensen-wel-wat-schelen-1572557.)) Op papier is het CBP dus niet langer een tandeloze tijger, maar de tijd zal uitwijzen of het zijn tanden ook kan gebruiken.