Naam dekt de lading niet
Dat iedereen spreekt over de "wet meldplicht datalekken" is niet zo gek. In de kamerstukken wordt de wet ook kortweg aangeduid als de wet "meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp". Toch dekt die naam de lading niet.
Inbreuken op de beveiliging is het criterium
Wie kijkt naar de tekst van de nieuwe wet, ziet dat in artikel 34a Wbp de definitie staat van wat veelal kortweg een "datalek" wordt genoemd:
De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Het gaat dus om een "inbreuk op de beveiliging als bedoeld in artikel 13" van de wet.
Meld- en administratieplicht
Die inbreuken moeten op grond van de wet straks gemeld en geadministreerd worden, tenzij de inbreuk niet ernstig genoeg is.
De drempel van voldoende ernst ziet op de vraag of de inbreuk "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". Als daar sprake van is, moet een melding worden gedaan bij het CBP.
Als de inbreuk daar bovenop ook nog "waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer" van de betrokkene, moet ook de betrokkene worden geinformeerd. Informeren van de betrokkene hoeft niet als de gegevens adequaat versleuteld waren (maar dan is m.i. de hele wet niet van toepassing en zal het op straat komen liggen van de gegevens ook geen ongunstige gevolgen voor de persoonlijke levenssfeer hebben, maar dat terzijde).
Alle inbreuken die gemeld moeten worden, moeten ook worden geadministreerd.
Beveiligingsnorm ziet op technische én organisatorische maatregelen
Over welke inbreuken gaat het dan precies? Zoals gezegd verwijst de nieuwe wet naar de maatregelen die zijn genomen op grond van artikel 13 Wbp. Dat artikel verplicht de verantwoordelijke om passende technische én organisatorische maatregelen te treffen. Zie de tekst van de wet:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Dat gaat dus niet alleen om bijv. het installeren van een firewall, maar ook om het treffen van beleidsmaatregelen om de rechtmatige verwerking van persoonsgegevens te borgen.
Meldplicht is dus veel breder dan bij technische incidenten
Strikt genomen ziet de meld- en administratieplicht dus op (veel) meer dan alleen technische incidenten als hacks of bugs in software (waar in veel berichtgeving de meeste aandacht naar uitgaat). Ook het kwijtraken van een sleutelbos, het telefoneren in de publieke ruimte en daarbij schenden van geheimhouding, het niet bijwonen van een veiligheidstraining, diefstal van apparatuur, overlijden van de functionaris gegevensbescherming, mislukken van een back-up, stilvallen van het patchmanagement of indicentenbeheer door bijv. langdurige ziekte van betreffende werknemer, brand, een slapende receptionist, een defecte beveiligingscamera, etc. etc. kunnen straks allemaal onder de nieuwe meld- en administratieplicht vallen.
Vraag is hoe toezichthouder de wet interpreteert
Uiteraard is daarbij wel steeds de vraag of de drempel van voldoende ernst wordt gehaald. Niet iedere inbreuk hoeft immers te worden gemeld. Het is echter niet ondenkbaar dat bijv. bij ontslag van een structureel niet functionerende systeembeheerder, er straks ook melding bij het CBP gedaan moet worden.
Of wat te denken van een voormalig werknemer die er met een heleboel bedrijfsgeheimen (waaronder persoonsgegevens) vandoor gaat? Een casus die in mening bewijsbeslag-kwestie nog wel voorkomt (hetgeen weer de vraag oproept of je in dat geval wel verlof voor bewijsbeslag mag vragen voor de melding is gedaan, etc. etc. ....).
De vraag is verder hoe ruim het CBP zelf de nieuwe meld- en administratieplicht zal zien. Op dit moment is in dat kader beleid in ontwikkeling. Het is afwachten wat daar in zal staan en hoe ruim we de nieuwe wet volgens de toezichthouder moeten lezen.
Overigens denk ik wel dat, ongeacht de interpretatie van het CBP van de nieuwe wet en ongeacht het al dan niet optreden door het CBP naar aanleiding van een (vermeende) overtreding van de wet, de individuele burger een organisatie op grond van het leerstuk van onrechtmatige daad zou kunnen aanspreken indien een melding niet is gedaan, die volgens (de ruime opvatting van) de wet wel gedaan had moeten worden. De vraag is overigens wat die burger in dat geval precies zou willen claimen. Ook hier is het dus afwachten tot een dergelijke zaak zich aandient en hoe de rechter daar vervolgens mee omspringt.
Bent u er al klaar voor?
Genoeg interessante vragen dus voor de komende tijd. De meest interessante vraag is denk ik echter: is uw organisatie al klaar voor de meldplicht datalekken? Heeft u incidenten tijdig in beeld en vervolgens ook tijdig gemeld? Neem gerust contact om hierover verder van gedachten te wisselen.
