Stel je voor: je komt erachter dat midden in de nacht de server van jouw bedrijf gehackt is. Hoogstwaarschijnlijk heeft de hacker ook de klantendatabase gezien, maar je kunt niet achterhalen of er ook daadwerkelijk iets met de gegevens is gedaan. Aangezien er nog geen klachten van klanten zijn binnengekomen ga je ervan uit dat het wel goed zit. Je vraagt de IT-afdeling het lek te dichten en houdt het lek verder voor jezelf. Het is inmiddels toch al opgelost.
ICTRecht is de specialist als het gaat om juridische vraagstukken op het gebied van ICT. Lisette Meij legt in dit artikel uit hoe het nu zit met de Meldplicht datalekken.
Momenteel kun je indien een datalek plaatsvindt nog zelf beslissen of je het lek wel of niet zal delen met de buitenwereld. Veel bedrijven zullen er nu nog voor kiezen een lek voor zichzelf te houden als het blijkt dat er geen ernstige gevolgen zijn. Het mededelen van een datalek levert tenslotte gauw wantrouwen op bij klanten om nog maar niet te spreken van mogelijke reputatieschade. Daar komt bij dat de boetes van de het CBP niet zodanig hoog zijn dat het bedrijven triggert om een lek te melden.
Een datalek lekker voor jezelf houden zal binnenkort niet altijd meer mogelijk zijn. De wetswijziging ‘Meldplicht van datalekken en uitbreiding bestuurlijke boetebevoegdheid College Bescherming Persoonsgegevens’ is namelijk een tijdje terug door de Eerste Kamer aangenomen. Dankzij deze wetswijziging zal in bepaalde gevallen een datalek gemeld moeten worden.
‘En wanneer moet je een datalek dan melden?’ hoor ik je denken. Goede vraag. Een datalek moet gemeld worden bij het CBP als er sprake is van een inbreuk op de beveiliging, en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daar komt bij dat je een datalek niet alleen moet melden bij het CBP, maar óók bij de betrokkenen indien het lek nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkenen. Dit laatste is overigens niet nodig indien er passende beveiligingsmaatregelen zijn genomen om kennisname van de gelekte gegevens te voorkomen. Denk hierbij aan encryptie, waardoor degene die toegang heeft tot de gegevens deze niet kan lezen. Meld je een datalek toch niet dan kan het CBP een boete opleggen.
Voorheen was het nog niet zo spannend als het CBP een boete zou opleggen. De hoogte van een boete was namelijk maximaal €4.500. De afweging voor het netjes naleven van de Wet bescherming persoonsgegevens (Wbp), of het riskeren van een boete van maximaal €4.500, was daarom vaak snel gemaakt. Met dank aan deze wetswijziging kunnen de boetes die het CBP op kan leggen echter oplopen tot maximaal €810.000. Dat is wel even andere koek. Houd je je niet aan de Wbp, dan riskeer je dus een flinke boete. Uiteraard zul je eerst nog op de vingers getikt worden door het CBP, en word je gewezen op wat er mis gaat vóórdat je (maximaal) €810.000 moet aftikken.
De wetswijziging is op het moment aangenomen door de Eerste Kamer, maar nog niet in werking getreden. Voordat de wetswijziging in werking treedt zal het CBP, naar verwachting, richtsnoeren opstellen die meer duidelijkheid geven over de daadwerkelijke handhaving van deze wetswijziging. Deze richtsnoeren zullen hoogstwaarschijnlijk meer duidelijkheid/voorbeelden geven over wanneer er nou precies sprake is van ‘een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens en/of nadelige gevolgen voor de persoonlijke levenssfeer van betrokkenen’.
Desondanks is het wel wijsheid nu al je beveiligingsmaatregelen onder de loep te nemen. Je kunt een datalek maar beter voor zijn. Mocht het lek namelijk uitkomen, dan kan dit gigantische reputatieschade opleveren. Reputatieschade kan erg veel geld kosten, in sommige gevallen zelfs meer dan de boetes die door een toezichthouder opgelegd kunnen worden. Vragen over deze wetswijziging en hoe jouw bedrijf zich hierop kan voorbereiden? Neem dan contact op met ICTRecht.
