Op 1 januari 2016 zal de Wet meldplicht datalekken in werking treden. Deze nieuwe wet leidt tot een aanpassing van de Wet bescherming persoonsgegevens (Wbp).

De wet betekent houdt in dat incidenten met een kans op ernstige nadelige gevolgen voor de persoonsgegevens moeten worden gemeld bij de toezichthouder. Het gaat hierbij verder dan de hacker die zich toegang heeft verschaft tot de persoonsgegevens. Volgens de nieuwe wetgeving worden ook het verlies van laptop, smartphone of USB-stick, verkeerd adresseren van e-mail, zoekgeraakte papieren dossiers etc. als datalek aangemerkt.

Boete tot €810.000

De Meldplicht Datalekken is een aanpassing op de Wet bescherming persoonsgegevens(Wbp) en gaat verder dan alleen het melden van een beveiligingsincident. Onder de huidige Wbp heeft toezichthouder College Bescherming Persoonsgegevens (CBP) weinig boetebevoegdheid. Onder de nieuwe naam Autoriteit persoonsgegevens kan de toezichthouder per 1 januari behalve grommen ook hard bijten, door forse boetes uit te delen. Die boete die kan oplopen tot wel 810.000 euro of, indien dat geen passende bestraffing is, zelfs tien procent van de jaaromzet.

Duidelijk en gerechtvaardigd doel

De Wbp bevat uiteenlopende verplichtingen bij het verwerken van persoonsgegevens. Verwerken wordt hierbij breed gedefinieerd: niet alleen verzamelen en bewaren vallen hieronder, maar ook bijvoorbeeld het gebruiken, verspreiden en met elkaar in verband brengen van gegevens. Telkens als u iets doet met persoonsgegevens moet daarvoor een duidelijk en gerechtvaardigd doel bestaan. De verwerking mag bovendien niet verder gaan dan strikt noodzakelijk voor het doel waarvoor u de gegevens heeft verkregen.

Verder bepaalt de Wbp dat persoonsgegevens door middel van passende technische en organisatorische maatregelen dienen te worden beveiligd. De gegevens moeten in technische zin adequaat worden beschermd tegen toegang door derden. Die derden kunnen ook interne derden zijn.

Ketenaansprakelijkheid verwerken persoonsgegevens

Hiernaast is er met de nieuwe wet ook sprake van ketenaansprakelijkheid. Degene die de persoonsgegevens verwerkt, is voor deze gegevens verantwoordelijk. Dat is de entiteit die beslist welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Ook als derde partijen (bewerkers) worden ingeschakeld, zoals een Cloudprovider, Software leverancier, hosting provider, salarisverwerker of accountant.

Bewerkersovereenkomst

Dat betekent dat nieuwe afspraken gemaakt moeten worden met deze bewerkers over de bescherming van persoonsgegevens. In de Wbp is al verplicht gesteld dat er tussen partijen een bewerkersovereenkomst moet worden afgesloten. Met de komst van de Meldplicht Datalekken groeit het belang van een goede overeenkomst, met afspraken over aansprakelijkheden, het melden van datalekken aan de opdrachtgever en een kettingbeding.