De plicht tot melding van inbreuken
in verband met persoonsgegevens :
Nederland neemt een voorsprong

Vanaf 1 januari 2016 moeten elkeen die in Nederland verantwoordelijk is voor de verwerking van gegevens, elke ernstige inbreuk in verband met persoonsgegevens melden
aan de Nederlandse Autoriteit Persoonsgegevens
(www.cbpweb.nl) alsook aan de betrokkenen zelf.

De verantwoordelijken voor de verwerking van gegevens zijn de personen of bedrijven die bepalen voor welk doel en op welke wijze persoonsgegevens worden of moeten worden verwerkt.

1.  Op Europees niveau : nu al een verplichting voor de aanbieders van elektronische communicatiediensten die publiek toegankelijk zijn

Op Europees niveau bestond er al een gelijkaardige verplichting voor aanbieders van elektronische communicatiediensten die publiek toegankelijk zijn om inbreuken in verband met persoonsgegevens te melden.

Op grond van de Verordening (EU) nr 611/2013 van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens, moeten de aanbieders waar mogelijk uiterlijk 24 uur na opsporing de bevoegde nationale autoriteit in kennis stellen van de inbreuk in verband met persoonsgegevens.

2.   Binnenkort verplicht voor alle verantwoordelijken voor de verwerking van gegevens in Europa

Er bestaat reeds een ontwerptekst van de algemene EU-verordening met betrekking tot de bescherming van persoonsgegevens.

Deze EU-ontwerpverordening voorziet in eenzelfde verplichting voor de verantwoordelijken voor de gegevensverwerking in alle lidstaten van de EU, maar is nog niet in voege getreden.

3. In Nederland : vanaf 1 januari 2016 verplicht voor alle verantwoordelijken van dataverwerking

De Nederlandse regering heeft niet gewacht op de inwerkingtreding van de algemene EU-verordening met betrekking tot de gegevensbescherming (waarin ook een verplichting om misbruik van gegevens te melden vervat is).

De Nederlandse wetgever heeft in artikel 34a van de Wet op de Bescherming van Persoonsgegevens (van toepassing vanaf 1 januari 2016) de verplichting geïmplementeerd voor de verantwoordelijken voor de gegevensverwerking om de Nederlandse Privacycommissie (CBP) onmiddellijk in kennis te stellen nadat een inbreuk op de beveiliging zich voordoet, ingeval sprake is van een aanzienlijk risico op negatieve gevolgen of wanneer er negatieve gevolgen zijn voor de bescherming van persoonsgegevens.

De Nederlandse wetgever heeft ook de boetes verhoogd voor overtredingen van de Nederlandse wet op de bescherming van de gegevens, tot 820.000,00 € of tot 10% van het jaarlijkse netto-inkomen van het bedrijf.

De Nederlandse wet op de bescherming van de persoonsgegevens kan verantwoordelijken voor de dataverwerking opleggen om hun overeenkomsten met data processoren up te daten om in regel te zijn met de verplichtingen ingeval van inbreuk op persoonsgegevens. Zowel de verantwoordelijken voor de verwerking van gegevens als de gegevensprocessoren kunnen onderhevig zijn aan deze boetes. Ook bedrijfsleiders kunnen onderworpen worden aan deze sancties.

De verantwoordelijken moeten het CBP in kennis stellen van elke inbreuk op de beveiliging die een aanzienlijk risico inhoudt op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De verantwoordelijken kunnen ook worden gevraagd om de betrokken personen te informeren wanneer de inbreuk op de beveiliging ernstige gevolgen heeft of kan hebben voor hun recht op privéleven.

De verplichting om de betrokkene op de hoogte te brengen is afhankelijk van de mogelijke negatieve gevolgen voor de persoon in kwestie ingevolge de inbreuk en de andere beschermingsmaatregelen van de gegevens. Bijvoorbeeld, als er aangepaste cryptografische maatregelen voorzien zijn door de verantwoordelijke voor de gegevensverwerking die met een inbreuk te maken krijgt, die de persoonlijke gegevens onbereikbaar of onleesbaar maken, zou een melding aan de betrokken persoon mogelijk niet nodig zijn.

De kennisgeving omvat niet alleen een datalek, maar ook allerlei situaties waar persoonlijke gegevens betrokken zijn (met inbegrip van, bijvoorbeeld, het verlies van een USB-stick met persoonlijke gegevens, een gestolen laptop, het hacken van een database).

In het geval van een inbreuk op de beveiliging, moeten de verantwoordelijken voor de gegevensverwerking in staat zijn om een snelle beoordeling te maken of een dergelijke overtreding ernstige nadelige gevolgen dreigt te hebben voor de bescherming van de persoonsgegevens. Als dit het geval is, moet de beheerder van de gegevensverwerking de Nederlandse autoriteit voor gegevensbescherming en de betrokken personen in kennis stellen.

De Nederlandse privacycommissie heeft richtlijnen gepubliceerd om de naleving van de betrokken bepalingen te waarborgen. Deze krachtlijnen bepalen dat elke inbreuk onmiddellijk na de ontdekking moet worden gemeld, en ten laatste binnen de 72 uur.

Het niet correct of niet tijdig handelen kan leiden tot nogal strenge sancties. Het bedrag van de boete hangt af van het feit of de schending van artikel 34a van de Nederlandse wet op de bescherming van persoonsgegevens vrijwillig is begaan ofwel het gevolg is van een grove nalatigheid. De maximale straf die door de autoriteiten kunnen worden opgelegd, bedraagt 820.000,00 €.

De melding van een inbreuk op persoonsgegevens moet ten minste de volgende informatie bevatten:

De aard van de inbreuk

de instanties waar men meer informatie kan krijgen over de overtreding

de aanbevolen maatregelen om de negatieve gevolgen van de overtreding te beperken.

4.  Een voorbereiding op mogelijk misbruik van gegevens in de EU is noodzakelijk

De Nederlandse wetgever loopt voor op zijn Europese collega’s.

Toch zal deze meldingsplicht van datalekken weldra ook in België afdwingbaar zijn krachtens de net ondertekende algemene EU-Verordening betreffende de gegevensbescherming.

Om te kunnen inspelen op deze nieuwe bepalingen en om snel te kunnen reageren op een datalek binnen een beperkte tijdspanne, zullen de verantwoordelijken instrumenten en beleidsmaatregelen klaar moeten hebben, die hen toelaten om onverwijld de juiste en noodzakelijke stappen te nemen.

➢  In de eerste plaats moet er een geschikte preventiestrategie aanwezig zijn in verband met datalekken. Hoewel de aankoop en tenuitvoerlegging van een "preventietool tegen gegevensverlies" natuurlijk niet de enige remedie is, doet een bedrijf er toch best aan, vooraleer een systeem te implementeren, om een inventaris en audit te maken van alle gegevens (risicoanalyse).

Het is met name belangrijk dat het bedrijf op de hoogte is van:

waar haar gegevens zich bevinden

wie de eigenaars zijn van die gegevens

of de opgeslagen gegevens al dan niet belangrijk zijn

de gegevensstroom in de IT omgeving

welke juridische verplichtingen vereist zijn met betrekking tot de gegevens

de privileges op een ‘need-to-know’ basis

➢  Ten tweede zouden de werknemers geïnformeerd moeten worden over de gevaren van misbruik, over de zaken waar ze op moeten letten, waar wel of niet op te klikken en wanneer hulp te vragen. Scholing en bewustwording omtrent bedrog is immers even belangrijk als de technologie.

➢ Van zodra er zich een inbreuk voordoet, moeten de verantwoordelijken snel de gevolgen  kunnen vaststellen en de gevraagde informatie door kunnen spelen aan de gegevensbeschermingsautoriteit. Daarom is het ook noodzakelijk om een helder plan op te stellen over de adequate reacties op gegevensmisbruik.

Wij houden u verder op de hoogte wanneer de Europese Verordening betreffende gegevensbescherming in werking treedt.

In ieder geval adviseren we u om proactief te werk te gaan en om te ervoor te zorgen dat uw bedrijf klaar is om op een adequate manier een antwoord te bieden op een potentiële inbreuk op persoonsgegevens.

22 december 2015

Griet Verfaillie - griet.verfaillie@peeters-law.be
Lynn Pype - lynn.pype@peeters-law.be


Leer meer over dit onderwerp : schrijf in op onze nieuwsbrief!

E-mail *