Op 4 juni 2015 is de Wet meldplicht datalekken aangenomen en wordt deze opgenomen in de Wbp (Wet bescherming persoonsgegevens). De nieuwe Wet meldplicht datalekken is per 1 januari 2016 in werking getreden. Het betekent nogal wat voor een gemeente en dit document ontrafelt de complexiteit van deze nieuwe wet.
Update: De laatste weken van 2015 en de eerste weken 2016 hebben er nog diverse veranderingen plaatsgevonden rond de Wet meldplicht datalekken. Dit document is een update van het eerder verschenen document “Wetplicht meldplicht datalekken ontrafeld”. Hierbij zijn de verplichte meldplicht tijd, de nieuwe boetebedragen en handhavende instantie aangepast.
Is de Wet meldplicht datalekken nieuw?
Eigenlijk niet. De wet datalekken bestaat al langer in Nederland, maar de wet was niet meer up-to-date en de boetebedragen waren zo laag dat niemand zich daar zorgen over maakte. De Europese Commissie heeft alle lidstaten de opdracht gegeven hun wetten aan te passen, zodat voor alle Europese landen dezelfde regels van kracht zijn.
Wat is er veranderd?
Per 1 Januari 2016 is er een verplichte meldplicht waarbij het datalek binnen 72 uur gemeld moet zijn bij Autoriteit Gegevensbescherming. Bij schending van de meldplicht (EU-regels) wordt standaard een boete opgelegd van € 20.250. Bij het naar buiten komen van een datalek waarbij schade is opgelopen, zonder dat een melding is gemaakt door de datalekkende partij aan de Autoriteit Gegevensbescherming, kan een boete oplopen tot € 820.000 of 10 procent van de jaaromzet. De uiteindelijke boete is afhankelijk van de impact van het datalek op de samenleving. De komst van de nieuwe Wet meldplicht datalekken betekent een enorme uitbreiding van de boetebevoegdheid door de Autoriteit Gegevensbescherming.
Wanneer is er sprake van een datalek?
Van een datalek is sprake als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is meestal het gevolg van inbreuk op een of meer beveiligingsmaatregelen. Denk aan recent gepubliceerde voorvallen in de media van uitgelekte medische gegevens of personeelsdossiers die op straat lagen. Ook diefstal van bijvoorbeeld klantgegevens kan een datalek vormen. Elk bedrijf verwerkt (digitale) informatie en dus ook persoonsgegevens, zowel van klanten als medewerkers. Ook de gemeente verwerkt persoonsgegevens, zowel van burgers als van ambtenaren. Door het toenemende risico dat er data wordt ‘gelekt’, bijvoorbeeld door een menselijke fout, ontoereikende beveiliging, fraude binnen de eigen organisatie en/of een bewuste criminele aanval van buitenaf, kan data in verkeerde handen vallen of verloren gaan. Het wetsvoorstel meldplicht datalekken beoogt aan de huidige Wet bescherming persoonsgegevens (Wbp) een meldplicht voor ‘inbreuken op beveiligingsmaatregelen voor persoonsgegevens’ toe te voegen.
Hoe zit dat dan met de Wbp?
De Wbp (Wet bescherming persoonsgegevens) bestaat al langer maar wordt de laatste jaren steeds belangrijker, doordat gemeenten allerlei nieuwe taken moeten uitvoeren. De Autoriteit Gegevensbescherming geeft in ‘beleidsregels meldplicht datalekken’ aan wanneer er sprake is van een blijvend, passend beveiligingsniveau. Daarin wordt uitgelegd hoe het de Autoriteit Gegevensbescherming bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen deze open beveiligingsnorm uit de Wbp toepast. Daartoe geeft zij een zogeheten ‘plan-do-check-act-cyclus’ waarin zij allereerst aanraadt om de risico’s goed in kaart te brengen en te beoordelen en om gebruik te maken van algemeen geaccepteerde beveiligingsstandaarden.
Wat moeten gemeenten regelen?
- Noodzaak tot aanpassen van de bewerkersovereenkomst
- Uitbreiden van bewerkersovereenkomsten dient met de komst van nieuwe taken in het sociaal domein al vanaf begin 2015 in het bezit te zijn van de gemeente en worden uitgebreid met betrekking tot de Wet meldplicht datalekken en aansprakelijkheid.
- Maak richtlijnen over hoe te handelen als zich een datalek voordoet: maak een datalek-draaiboek / -protocol!
- In kaart brengen welke gegevens/datastromen worden verwerkt;
- Toetsen / meten van de huidige informatiebeveiliging op het gebied van datalekken;
- Processen inrichten naar nieuwe regels op gebied van privacy;
- Aanstellen protocolplicht verantwoordelijke;
- Aard en inhoud van de melding vastleggen;
- Kennisgeving aan betrokkenen;
- Zorgdragen dat beveiliging op orde is, zowel technisch als ook organisatorisch;
- Versleutelen van burgergegevens;
- Vooraf inregelen van aspecten rondom beveiliging, datalekken en privacy in een bewerkersovereenkomst en in SLA’s (Service Level Agreements).
Wat zijn noodzakelijke acties?
Eigenlijk al het aantoonbare bewijs wat aannemelijk maakt dat uw gemeente er alles aan heeft gedaan dat binnen de mogelijkheden ligt om het datalek te voorkomen. Sommige zaken worden in een project Informatiebeveiliging meegenomen; denk aan monitoring, logging en versleuteling van gegevens. Officieel hoort de Wet meldplicht datalekken thuis onder de paraplu van Privacy en nog meer onder Juridische Zaken vanwege het zware juridische karakter.
Wat op korte termijn zeker moet gebeuren is:
- Zorg voor een goede bewerkersovereenkomst met meldplichtpassages en laat deze ondertekenen door de bewerkers vanuit de gemeente.
- Zorg voor een datalekdraaiboek of -protocol zodat ambtenaren weten waarom, wanneer, bij wie en waarin ze een datalek moeten melden en waarbij de protocolplichtverantwoordelijke weet wat er van hem/haar verwacht wordt.
- Datalekken kunt u melden bij het Meldloket Datalekken Autoriteit Gegevensbescherming
Wat als we niks doen?
Niks doen brengt verhoogde risico’s met zich mee. Risico’s zijn niet erg als deze bekend zijn binnen de organisatie en de mogelijke impact van het risico bekend is en er passende maatregelen genomen zijn. In dit geval betreft het een wet en dit maakt zaken dwingender, zeker voor een gemeente. U en uw bestuur kunnen als verantwoordelijke aansprakelijk zijn voor alle schade die voortvloeit uit een datalek en daarnaast een boete van de Autoriteit Gegevensbescherming opgelegd krijgen. Om nog maar te zwijgen van de reputatie- en imagoschade en mogelijke claims van betrokkenen!
Welke implicaties heeft dit voor bedrijven en gemeenten? Waar moet een datalek gemeld worden? Wanneer moet een datalek worden gemeld? Wat moet er exact worden gemeld? Welke preventieve maatregelen kunnen er worden getroffen? Welke afspraken kunnen en moeten er met bewerkers worden gemaakt? Op wie rust de meldplicht en wat als er niet – of niet tijdig – wordt gemeld? Al dit soort vragen worden beantwoord in ‘beleidsregels meldplicht datalekken’ van de Autoriteit Gegevensbescherming.
Meer weten?
Voor meer informatie kunt contact opnemen met John Vloemans, senior adviseur informatiebeveiliging en privacy bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.