Wet Meldplicht Datalekken

Sinds 1 januari 2016 moeten Nederlandse bedrijven verplicht datalekken melden. Dit roept vragen op zoals: Wat is een datalek? In welke gevallen moet er gemeld worden? Aan wie moet gemeld worden?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Van een inbreuk kan sprake zijn als er ongeautoriseerde toegang verleend wordt, de integriteit/betrouwbaarheid van de beveiliging is beschadigd of de toegankelijkheid wordt belemmerd. En het moet altijd gaan om persoonsgegevens. Zijn er geen persoonsgegevens in het geding, is er geen sprake van een datalek. Duidelijke voorbeelden zijn het verlies van een laptop, of een hack van een computer. Minder duidelijk - maar toch een datalek - zijn een virusbesmetting, brand in een serverruimte of zelfs het toesturen van een e-mail aan de verkeerde persoon

Een datalek moet gemeld worden als het datalek ernstige nadelige gevolgen heeft, of kan hebben, voor de bescherming van persoonsgegevens. Op basis van deze cryptische omschrijving moet u beslissen of u moet melden. Er zijn een aantal handvaten: Als er gevoelige gegevens gelekt zijn, moet er gemeld worden. Het gaat dan om gegevens over ras, geloof, politieke gezindheid, lidmaatschap van een vakvereniging etc. Of bijvoorbeeld om gegevens over iemands financiële situatie (salaris, schulden, bank-/creditcardgegevens, betalingen), gegevens die (kunnen) stigmatiseren (gokken, arbeidsprestaties, onbehoorlijk gedrag). En ook gegevens die kunnen worden misbruikt voor identiteitsfraude (bsn-nummer, paspoort/rijbewijs, gebruikersnamen en inloggegevens).

U moet de melding doen bij de Autoriteit Persoonsgegevens. Dat kan via een standaardformulier op de website van de Autoriteit Persoonsgegevens. Ook moet het datalek gemeld worden aan de betrokkene, dat wil zeggen degene om wiens persoonsgegevens het gaat, als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Daarvan is (bijna) in alle gevallen sprake, tenzij de gegevens goed versleuteld zijn, of u voldoende andere beveiligingsmaatregelen heeft getroffen die de betrokkene beschermen tegen ongunstige gevolgen. De wet stelt daarnaast ook eisen aan de inhoud van de melding.

Noemenswaardig is tot slot dat de Autoriteit Persoonsgegevens een boete kan opleggen als u de melding niet doet. Die bedraagt maximaal € 820.000,- per overtreding. Indien u ten onrechte niet meldt aan de Autoriteit Persoonsgegevens en aan de betrokkene, zijn er twee overtredingen en bedraagt de maximale boete dus € 1.640.000,-. De Autoriteit Persoonsgegevens kan uiteraard lagere boetes opleggen al naar gelang de ernst van de overtreding, of zelfs achterwege laten als de overtreding niet opzettelijk is gedaan of er geen sprake is van ernstige nalatigheid. Bent u echter op de hoogte van het datalek en de ernst daarvan, maar meldt u toch niet, dan zal snel worden aangenomen dat de melding opzettelijk niet gedaan is.