Bent u voorbereid op de Meldplicht Datalekken in 2016?

Door: Gerben de la Rambelje

 
 
 
 
Enige tijd geleden heeft een Rotterdamse apotheek vuilniszakken buitengezet met daarin medische gegevens van honderden klanten. Naam, adres en woonplaats gegevens van klanten waren vermeld, evenals hun medicatie en behandelend arts. Zelfs het BSN-nummer per patiënt was zichtbaar. Desgevraagd kon de apotheek niet aangeven hoe dit was gebeurd.
 
Destijds werden dit soort datalekken niet beboet. Er zijn de laatste jaren nog talloze andere lekken van persoonlijke gegevens geweest die niet beboet werden. Maar dat is binnenkort verleden tijd. Door de Meldplicht Datalekken, die per 1 januari 2016 in werking treedt, is melding van dit soort datalekken verplicht. Dit betekent dat elk bedrijf dat verantwoordelijk is voor de verwerking van persoonsgegevens aansprakelijk is voor persoonsgegevens die worden gelekt. Het bedrijf kan worden beboet door het College Bescherming Persoonsgegevens (CBP) op basis van de Wet Bescherming Persoonsgegevens (Wbp), indien het bedrijf een datalek niet meldt of na melding onvoldoende maatregelen neemt om persoonsgegevens te beschermen.
 
Wat verandert er voor u?
Vanaf 1 januari aanstaande bent u verplicht inbreuken op de beveiliging van privacygevoelige data binnen uw bedrijf te melden bij het CBP, vanaf 1 januari 2016 Autoriteit Persoonsgegevens geheten, en de betrokkenen. U heeft daar vast al over gelezen in de media. Dit is het gevolg van de wetswijziging Meldplicht Datalekken en de uitbreiding van de boetebevoegdheid voor de Autoriteit Persoonsgegevens die de Eerste Kamer op 26 mei 2015 heeft aangenomen.
 
Wanneer moet u een datalek melden?
Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. Er is al sprake van een datalek op het moment dat iemand onbevoegd toegang tot persoonsgegevens heeft gekregen. Of u een datalek wel of niet moet melden, hangt af van de gevolgen van het datalek. Wanneer een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of wanneer er een aanzienlijke kans hierop bestaat, dient een melding in beginsel plaats te vinden. In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Dit is verplicht wanneer een datalek ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Al met al kan dit een behoorlijk tijdrovende klus worden die uw reguliere bedrijfsvoering verstoort.
 
Of er sprake is van een datalek dat gemeld dient te worden aan de Autoriteit Persoonsgegevens en mogelijk ook aan betrokkenen, kan worden beoordeeld aan de hand van richtsnoeren die momenteel in concept beschikbaar zijn via de website van het huidige CBP.
 
Straffe boetes bij overtreding
Per 1 januari 2016 heeft de Autoriteit Persoonsgegevens de mogelijkheid behoorlijke boetes op te leggen voor het niet melden van een datalek. Deze boetes kunnen oplopen tot € 810.000 of 10% van de jaaromzet. Maar niet alleen geldt de boetebevoegdheid voor het niet melden van een datalek. De Autoriteit Persoonsgegevens kan vanaf 1 januari aanstaande boetes opleggen voor het niet voldoen aan vrijwel alle verplichtingen die u als organisatie heeft op basis van de Wbp. Dit betekent dat ook een boete kan worden opgelegd als er bijvoorbeeld geen grondslag is voor de verwerking van persoonsgegevens of geen passend niveau van beveiliging wordt gehanteerd.
 
De Autoriteit Persoonsgegevens zal wel eerst een bindende aanwijzing aan een overtreder moeten geven voordat er daadwerkelijk kan worden overgegaan tot het opleggen van een boete tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstige verwijtbare nalatigheid.
 
Wanneer geldt de Wet bescherming persoonsgegevens?
De Wbp is van toepassing op de verwerking van persoonsgegevens. Onder ‘verwerking’ wordt elk geheel van handelingen met betrekking tot persoonsgegevens begrepen. Een persoonsgegeven is volgens de wet ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Deze definities omvatten bijna alles met betrekking tot een persoon, bijvoorbeeld NAW-gegevens, bankgegevens en kredietscore, of de rol van een werknemer bij een bedrijf. Denk hierbij ook aan IP-adressen, locatiedata en foto’s. Het moet hierbij wel altijd gaan over natuurlijke personen. Dit betekent dat de wet niet van toepassing is op gegevens van overleden personen of rechtspersonen, zoals een BV of NV. Een patiëntendossier is daarmee ook een persoonsgegeven.
 
Wet bescherming persoonsgegevens in het kort
De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens zijn door het CBP als volgt samengevat op de website:

• Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt;
• Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn;
• Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking;
• De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

 
Vanwege bovenstaande is het, onder meer, belangrijk om niet meer persoonsgegevens te verwerken dan strikt noodzakelijk is. Zo heeft bijvoorbeeld de amateur voetbalclub geen baat bij het vastleggen van de kredietwaardigheid van spelers. In dit kader geldt ook dat verzekeringsgegevens van een ziektekostenverzekering niet zonder toestemming mogen gebruikt worden om een aanvraag voor een levensverzekering te beoordelen. Het doel van de gegevensregistratie van de ziektekostenverzekering past niet bij de doelen die de levensverzekeraar nastreeft.
 
Bent u Verantwoordelijke of Bewerker?
In beginsel geldt de verplichting voor het melden van een datalek voor de ‘verantwoordelijke’ volgens de Wbp. De verantwoordelijke is de partij die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.
 
In veel gevallen wordt de verwerking van persoonsgegevens door verantwoordelijken uitbesteed aan ‘bewerkers’. Denk hierbij bijvoorbeeld aan een hostingpartij of een administratiekantoor dat het salarisbeheer verzorgt. De verantwoordelijke is verplicht schriftelijke afspraken te maken met de bewerker in de vorm van een ‘bewerkersovereenkomst’, zodat helder is wie waarvoor verantwoordelijk is. In het kader van de Meldplicht Datalekken is het essentieel om goede, heldere afspraken te maken met bewerkers omtrent de melding van datalekken.
 
Wie heeft recht tot inzage en wijziging persoonsgegevens?
Belangrijk om te weten is, dat betrokkenen het recht hebben om hun gegevens in te zien en te laten wijzigen als daar aanleiding voor is. Daarvoor dient er een procedure aanwezig te zijn als onderdeel van het privacybeleid. Dit beleid beschrijft verder hoe personeel om dient te gaan met geheimhouding van en correcte omgang met persoonsgegevens. Daarnaast moet er een mechanisme beschikbaar zijn om vast te stellen dat gegevens worden gelekt.
 
Wanneer bent u goed beveiligd?
Persoonsgegevens worden steeds meer opgeslagen in grotere databanken. Dit vereist correcte verwerking en toenemende aandacht voor beveiliging van persoonsgegevens. Wanneer is er nu sprake van ‘goede beveiliging’? De wet omschrijft niet in detail wat dat nu precies inhoudt. In plaats daarvan wordt gesteld:
Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.
 
Wettelijk dient een organisatie bij het ontwerp van het systeem waarin persoonsgegevens worden vastgelegd ook rekening te houden met het begrip
Privacy By Design. Dat betekent dat een ontwerp intrinsiek privacy bestendig moet zijn. Het CBP vermeldt hierover het volgende op de website:
 
Privacy by design houdt in dat u als organisatie al tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteedt aan privacyverhogende maatregelen, ook wel privacy enhancing technologies (PET) genoemd. Ten tweede houdt u rekening met dataminimalisatie: u verwerkt zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking. Op deze manier kunt u een zorgvuldige en verantwoorde omgang met persoonsgegevens technisch afdwingen.
 
Het onderhouden van de IT Security Architectuur, de periodieke afstemming tussen IT landschapsontwikkeling en IT Security Maatregelen is daarmee een must geworden. Specifieke kennis is noodzakelijk om de relatie te kunnen leggen.
 
Verder is het aan te raden om incidentenbeheer goed in te inrichten en een Privacy Officer aan te stellen. De Privacy Officer kan eveneens datalekken beoordelen en deze melden bij de Autoriteit Persoonsgegevens. De wijze waarop betrokkenen worden geïnformeerd over een datalek, dient te worden gedocumenteerd. Als u daarover nog moet beslissen terwijl de melding aan de Autoriteit al is gedaan en de tijd dringt, dan is de kans op fouten groot. Het is dus raadzaam dit vooraf te doen.

 
Informatiebeveiliging in de praktijk
Nadat management of directie is overtuigd van nut en noodzaak van informatiebeveiliging en privacybescherming, is de tijd gekomen om de risico’s in uw bedrijf te beoordelen. De eerste stap naar betere informatiebeveiliging is een eenvoudige of uitgebreide Security Scan.
 
Tijdens een eenvoudige Scan wordt in het kort een aantal hoofdpunten nagelopen om te bepalen op welke gebieden uw bedrijf kwetsbaarheden vertoont. Hierover wordt een kort verslag opgeleverd.
 
Tijdens een uitgebreide Scan worden organisatie, het ICT-landschap, processen, informatiestromen en gebruikte technieken geanalyseerd. Eisen ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid van informatie worden vastgesteld. Tevens wordt de invloed van menselijk gedrag op informatiebeveiliging bepaald: de ‘menselijke factor’. Daarnaast worden juridische aspecten meegewogen. Zo kan worden onderzocht of er juridische documenten (bijvoorbeeld bewerkersovereenkomsten) aanwezig zijn en of deze aan de eisen voldoen. Waar nodig kunnen deze worden bijgewerkt.
 
Het is aan te bevelen de Security Scan elk jaar te herhalen, zodat externe en interne wijzigingen tijdig worden onderkend en de beveiliging hierop kan worden aangepast.
 
Risico Matrix en Planmatige Uitvoering
Op basis van de plannen om het ICT-landschap te ontwikkelen, worden maatregelen geselecteerd die relevant en toekomst bestendig zijn. Daarna wordt een risicomatrix opgesteld. De risicomatrix beschrijft welke risico’s zijn aangetroffen, wat gedaan kan worden om het risico te beheersen, de impact wanneer een risico daadwerkelijk optreedt en de waarschijnlijkheid dat het risico optreedt.
 
Op basis van de risicomatrix worden de risico’s in volgorde van belangrijkheid benoemd, van budget voorzien en in de tijd gepland. En daarna volgens plan afgewerkt. Het plan kan zaken omvatten als Beleidsdocumenten opstellen en gebruikerstrainingen geven. Of advisering en ondersteuning bij het opstellen van het proces ‘melding datalekken’. Andere zaken zijn ook mogelijk, afhankelijk van de situatie in uw bedrijf. Het beschermen van uw organisatie blijft tenslotte maatwerk.