Geplaatst op 23 juli 2015 09:22
De Wet Meldplicht datalekken begin 2016 van kracht
Noodzaak tot aanpassen van uw bewerkersovereenkomsten! Op 4 juni jl. is de Wet meldplicht datalekken aangenomen. Deze wet treedt per 1 januari 2016 in werking. De meldplicht wordt opgenomen in de Wet Bescherming Persoonsgegevens (Wbp).
Datalek
Wanneer is er sprake van een datalek? Van een datalek is sprake als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is meestal het gevolg van een beveiligingsprobleem. Denk aan recente voorvallen in de media van uitgelekte medische gegevens of personeelsdossiers die op straat lagen. Ook diefstal van bijvoorbeeld klantgegevens kan een datalek vormen. Elk bedrijf verwerkt data en dus ook persoonsgegevens, zowel van klanten als medewerkers. Ook zorginstellingen verwerken persoonsgegevens, zowel van patiënten als van werknemers. Door het toenemende risico dat er data worden “gelekt” bijvoorbeeld door een menselijke fout, ontoereikende beveiliging, fraude binnen de eigen organisatie en/of een bewuste criminele aanval van buitenaf kunnen data in verkeerde handen vallen of verloren gaan.
Welke implicaties heeft dit voor bedrijven en zorginstellingen? Wanneer moet een datalek worden gemeld? Wat moet er exact worden gemeld? Welke preventieve maatregelen kunnen er worden getroffen? Welke afspraken kunnen en moeten er met bewerkers worden gemaakt? Op wie rust de meldplicht en wat als er niet – of niet tijdig – wordt gemeld?
Enkele begrippen uit de Wbp
Voordat ik dieper inga op een beschrijving van de nieuwe verplichtingen uit de wet meldplicht datalekken, eerst een korte uitleg over enkele begrippen uit de Wbp. De meldplicht gaat gelden voor degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Deze wordt in de Wbp aangeduid als de verantwoordelijke. Denk bijvoorbeeld aan de volgende situatie: een huisarts houdt gegevens van patiënten bij in een huisartsinformatiesysteem (HIS). De medische gegevens zijn door BSN en NAW-gegevens te herleiden tot een individuele patiënt, dat wil zeggen: een natuurlijke persoon. Deze natuurlijke persoon wordt in de Wbp aangeduid als een betrokkene. De huisarts is in dit voorbeeld de verantwoordelijke. Onder persoonsgegevens vallen alle gegevens die herleidbaar zijn tot een geïdentificeerde of identificeerbare natuurlijke persoon (bijv. naam, mailadres, foto, medische gegevens, maar soms óók een IP-adres).
Onder het begrip verwerking valt elke handeling die betrekking heeft op persoonsgegevens, van het moment van verzameling tot vernietiging. Daaronder valt ook het opslaan van gegevens door een derde. Deze derde ‘verwerkt’ de gegevens in opdracht van de verantwoordelijke en wordt aangeduid als bewerker. De verplichtingen van de bewerker moeten nauwgezet worden vastgelegd in een bewerkersovereenkomst; dit is een wettelijk vereiste dat volgt uit artikel 14 Wbp. Het College Bescherming Persoonsgegevens (CBP) eist bovendien dat het contract tot in detail vermeldt welke instructies de verantwoordelijke aan de bewerker oplegt, welke beveiliging de bewerker zal toepassen, welke persoonsgegevens verwerkt zullen worden en voor welke doeleinden. Met de introductie van de nieuwe wetgeving meldplicht datalekken wordt het nog belangrijker om een adequate en op maat gemaakte bewerkersovereenkomst af te sluiten.
Beveiligingsverplichting Wbp
Op grond van artikel 13 Wbp is de verantwoordelijke verplicht om passende technische en organisatorische maatregelen ten uitvoer te (laten) leggen om persoonsgegevens te beveiligen
tegen verlies of enige vorm van onrechtmatige verwerking. De maatregelen moeten bovendien
een passend beschermingsniveau garanderen, gelet op de stand van de techniek en de kosten van de
tenuitvoerlegging en gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
Het CBP geeft in richtsnoeren Beveiliging van Persoonsgegevens aan wanneer er sprake is van een blijvend, passend beveiligingsniveau. Daarin wordt uitgelegd hoe het CBP bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen deze open beveiligingsnorm uit de Wbp toepast. Daartoe geeft zij een zogeheten plan-do-check-act-cyclus waarin zij allereerst aanraadt om de risico’s goed in kaart te brengen en te beoordelen, en om gebruik te maken van algemeen geaccepteerde beveiligingsstandaarden. Bovendien adviseert het CBP om regelmatig te controleren en te evalueren. Periodiek dient beoordeeld te worden of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen. Deze richtsnoeren kunnen verder worden toegepast in samenhang met algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van informatiebeveiliging.
Specifieke beveiligingsverplichting voor elektronische gegevensuitwisseling tussen zorgaanbieders
Het Besluit elektronische gegevensuitwisseling tussen zorgaanbieders stelt specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling tussen zorgaanbieders. Hierover bericht ik binnenkort nader.
Meldplicht
De meldplicht houdt in dat de verantwoordelijke een datalek moet melden bij het College bescherming persoonsgegevens (CBP). Altijd? Nee, alleen indien er kans is op verlies van gegevens of onrechtmatige verwerking van gegevens. Daarnaast moet degene die het betreft - de betrokkene – geïnformeerd worden. Het niet naleven van de meldplicht kan bestraft worden met een forse boete van het CBP.
De betrokkene moet geïnformeerd worden indien er sprake is van: “een inbreuk als bedoeld in het eerste lid indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.” Indien de data echter effectief en up-to-date versleuteld zijn, heeft de verantwoordelijke geen meldplicht richting de betrokkene.
Forse uitbreiding boetebevoegdheid door het CBP
In de huidige wetgeving kan het CBP alleen een bestuurlijke boete opleggen bij overtreding van een administratief voorschrift, zoals de verplichting tot melding van de verwerking van persoonsgegevens. In de nieuwe wetgeving is de boetebevoegdheid van het CBP echter fors uitgebreid. De boete kan oplopen tot maar liefst € 810.000,= of maximaal 10% van de jaaromzet. De boete kan het CBP pas opleggen nadat het een bindende aanwijzing heeft gegeven en de verantwoordelijke de ruimte heeft gekregen om een verbetering door te voeren. Dit is nodig vanwege mogelijke interpretatieproblemen bij begrippen als 'gepaste technische beschermingsmaatregelen'. Indien er sprake is van een opzettelijke overtreding of als er sprake is van ernstige verwijtbare nalatigheid hoeft het CBP niet eerst een aanwijzing te geven. De verantwoordelijke kan hiertegen bezwaar maken respectievelijk beroep instellen.
Logboek datalekken
Iedere organisatie dient verplicht een overzicht (logboek) bij te houden van datalekken die dusdanig ernstig waren dat ze aan het CBP gemeld zouden moeten worden. Dit overzicht moet in ieder geval feiten en gegevens omtrent de aard van de inbreuk alsmede de tekst van de kennisgeving aan de betrokkene vermelden.
Inhoud van de melding
De melding aan het CBP moet in elk geval de volgende informatie omvatten:
- de aard van de inbreuk;
- de instanties waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken (bijvoorbeeld: het veranderen van gebruikersnamen en wachtwoorden);
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
Autoriteit persoonsgegevens
Met de inwerkingtreding van de nieuwe wet zal de naam van het College Bescherming Persoonsgegevens overigens worden veranderd in Autoriteit Persoonsgegevens.
Wat betekent dit alles voor bedrijven en zorginstellingen?
- Noodzaak tot aanpassen van de bewerkersovereenkomst;
- Processen inrichten naar nieuwe regels op gebied van privacy;
- Maken van richtlijnen over hoe te handelen als zich een datalek voordoet: maak een datalek-draaiboek!
- Protocolplicht verantwoordelijke;
- Opstellen ‘datalek’-protocol;
- Aard en inhoud van de melding;
- Kennisgeving aan betrokkenen;
- Zorgen dat beveiliging op orde is, zowel technisch als ook organisatorisch;
- De medische gegevens moeten versleuteld worden;
- Aspecten rondom beveiliging, datalekken en privacy moeten vóóraf in een overeenkomst geregeld worden!
Risico bij achterover leunen en niets doen: u kunt als verantwoordelijke aansprakelijk zijn voor alle schade die voortvloeit uit een datalek en daarnaast een boete van het CBP opgelegd krijgen. Om nog maar te zwijgen van de reputatieschade en mogelijke claims van betrokkenen.
Zie ook: artikel inzake Brede meldplicht datalekken
Voor meer informatie kunt u contact opnemen met onze specialisten van de praktijkgroep Intellectuele Eigendom, ICT-recht & Privacy.