Nieuws & blogs

Privacymanagement en de nieuwe meldplicht datalekken: hoe voorkom je boetes?

9 oktober 2015

Per 1 januari 2016 treden de aanpassingen van de Wet Bescherming Persoonsgegevens (WBP) in werking. De WBP geldt voor iedereen die beroeps- of bedrijfsmatig informatie over personen bijhoudt. Niet alleen wordt in de vernieuwde WBP voortaan een meldplicht datalekken geïntroduceerd. Ook de boetebevoegdheden van het College Bescherming Persoonsgegevens worden flink uitgebreid.

Het CBP wordt in de wet omgedoopt tot ‘Autoriteit Persoonsgegevens’ (APg). Een boete kan oplopen tot 810.000 euro of anders maximaal 10% van de jaaromzet, als de APg een nog hogere boete passender vindt. Een APg-boete staat los van de overige kosten van privacyproblemen (reputatieschade, reparatie-inspanningen, individuele schadevergoeding, eventuele juridische kosten).

De aanduiding ‘meldplicht datalekken’ is niet de juridische term. In de wettekst wordt gesproken van een ‘inbreuk op de beveiliging’ wat een vertaling is van het Engelse security breach. Er moet sprake zijn van het doorbreken van informatiebeveiliging, van buitenaf (hackers) of van binnenuit – bijvoorbeeld omdat iemand, ondanks de beveiligingsafspraken, toch een koffertje met cliëntdossiers in de trein laat liggen. Wie in het geheel geen beveiliging heeft of zich daar veel te gemakkelijk vanaf heeft gemaakt, maakt het al helemaal te bont.

De meldplicht is een driedubbele meldplicht omdat óf moet worden gemeld aan de APg óf aan gedupeerden (waarbij advies moet worden gegeven over tegenmaatregelen) óf aan allebei. Het is belangrijk om aan de hand van privacy impact assessment op het incident, goed te bepalen óf en welke van de meldplichten van toepassing is. Want de WBP kent ook melddrempels: niet alles hoeft te worden gemeld. Daarnaast is er snelheid nodig, want de wet geeft aan dat meldingen ‘onverwijld’ moeten worden gedaan.

Het boeterisico is dubbel omdat op verzuim van een meldplicht al in aanmerking komt voor de hoogste boete. Maar vooral rijst de vraag of u ook in aanmerking komt voor een boete voor gebrekkig privacy management. De datalek kan aanleiding geven tot onderzoek door de APg naar uw informatiebeveiligingsbeleid. Maar informatiebeveiliging is nog maar één van de tien kernverplichtingen van de WBP. Het APg-onderzoek kan zich daarom uitbreiden naar de andere kernverplichtingen, zoals onderzoek naar de ‘proportionaliteit’ van uw gegevensverwerking.

Bij good privacy governance valt u niets te verwijten, want u waarborgt dat gegevens steeds behoorlijk, zorgvuldig en in overeenstemming met de wet worden verwerkt. Good governance blijkt met name uit een coherente privacy management aanpak, de betrokkenheid van een Data Protection Officer (‘privacyaccountant’) conform het wettelijke profiel en informatiebeveiligingsbeleid dat is gebaseerd op ISO 27000.

Een eerste indicatie dat iemand geschikt is als DPO, is dat hij/zij gecertificeerd is door de internationale organisatie van privacy professionals IAPP. IAPP-certificatie (CIPP/E, CIPM en CIPT) wordt erkend onder ISO 17024.

Dit artikel is een samenvatting van de PLEIT2015 kennissessie 'Privacymanagement en de meldplicht datalekken: hoe voorkom je boetes' door TSTC en een aanvulling op de ter beschikking gestelde factsheet.