Meldplicht datalekken: hoe voorkom ik een boete?

Per 1 januari 2016 is in de Wet Bescherming Persoonsgegevens de meldplicht datalekken opgenomen. Vaak wordt gedacht dat de meldplicht datalekken alleen van toepassing voor bedrijven en overheidsinstelling.

Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (binnen 2 dagen na ontdekking) en ook worden gemeld aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Wanneer is sprake van een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Wanneer de data gebruikt wordt voor het doel waarvoor het is verkregen en het gebruik binnen de regels valt, is er weinig aan de hand. Wanneer diezelfde data voor andere doeleinden wordt gebruikt, kan dit zeer negatieve en verstrekkende consequenties hebben voor de betrokkenen. Het is van belang dat u vastlegt voor welke doeleinden uw organisatie de persoonsgegevens worden gebruikt. Gebruik voor andere doeleinden dan de vastgelegde doeleinden is namelijk verboden.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop / tablet / telefoon of een inbraak in een databestand door een hacker.
Het is daarom belangrijk om regels te stellen voor het verzamelen, opslaan en gebruiken van data om te voorkomen dat misbruik van data kan worden gemaakt. Neemt u ook de juiste beveiligingsmaatregelen om datalekken te voorkomen.

Wat valt onder beschermde data?
Ieder gegeven over een geïdentificeerd of identificeerbaar natuurlijk persoon wordt als persoonsgegeven aangemerkt. NAW-gegevens zijn dus persoonsgegevens, maar denk bijvoorbeeld ook aan een e-mailadres of een IP-adres. Het lekken van andere gegevens dan persoonsgegevens verloren zijn of gestolen worden, val niet onder datalekken.

Als u persoonsgegevens opslaat en daarmee onder de werking van de Wet Bescherming Persoonsgegevens valt, dan is ook de meldplicht datalekken op u van toepassing. Op grond van deze meldplicht moeten ernstige datalekken worden gemeld. De inbreuk moet worden gemeld bij de Autoriteit Persoonsgegevens. De beoordeling of een datalek gemeld moet worden, ligt te allen tijde bij de organisatie. Maakt u een onjuiste inschatting, dan kan dat leiden tot het opleggen van een boete aan u.

Maar, is er bij de inbreuk sprake van het lekken van gegevens waarbij die gegevens bijvoorbeeld niet goed versleuteld waren of waarbij er andere redenen zijn om te veronderstellen dat het lek ongunstige gevolgen heeft voor de betrokkene, dan moet de inbreuk ook worden gemeld bij die betrokkene. Dat betekent dat degene wiens gegevens zijn gelekt van dit lek op de hoogte moet worden gebracht.

Boete Autoriteit Persoonsgegevens
Nu heeft de Autoriteit Persoonsgegevens de mogelijkheid een boete op te leggen wanneer niet wordt voldaan aan de Wet Bescherming Persoonsgegevens. In het ergste geval kan een boete worden opgelegd van ruim € 800.000,-- of 10% van de omzet. Wel is het zo dat een boete pas kan worden opgelegd nadat de Autoriteit Persoonsgegevens u aanwijzingen heeft gegeven om inbreuk tegen te gaan en de persoonsgegevens beter te beveiligen dan wel u een waarschuwing heeft gegeven . Voldoet u niet aan die aanwijzingen, dan kan een boete volgen.

Boetes kunnen onder meer worden opgelegd voor:

  • Het niet melden van een datalek terwijl dat wel moet;
  • Het niet op orde hebben van de beveiliging;
  • Het verwerken van persoonsgegevens zonder toestemming;
  • Export van persoonsgegevens naar landen buiten de EU zonder dat goed geregeld te hebben.


Wat moet u doen!
Zorg ervoor dat u goed weet welke gegevens in uw organisatie worden opgeslagen en of deze onder de Wet Bescherming Persoonsgegevens vallen. Zorg dat uw ICT-omgeving voldoende beveiligd is. U moet kunnen aantonen dat u voldoende technische en organisatorische maatregelen heeft genomen om een datalek te voorkomen. Ook dient uw personeel op de hoogte te zijn van mogelijke beveiligingsrisico’s en hoe om te gaan met een datalek (maak een draaiboek). Wenst u een boete te voorkomen en/of fouten bij het indienen van de melding van de datalek, win dan tijdig juridisch advies in bij Advocatenkantoor Bloem.

Beleidsregels meldplicht datalekken

Uitzendkracht en ziekte

Hoge Raad: uitzendovereenkomst eindigt niet zonder meer bij ziekte van de uitzendkracht

Lees verder