Onder de huidige "meldplicht datalekken" moet een overzicht worden bijgehouden van alle
meldingsplichtige inbreuken op de beveiliging. Onder toekomstig privacyrecht moet er echter een overzicht worden bijgehouden van
alle inbreuken op de beveiliging. Wat betekent dit voor de praktijk?
Administratieplicht onder de huidige meldplicht
De huidige "meldplicht datalekken" staat in artikel 34a Wet bescherming persoonsgegevens. Op de meldplicht ga ik in dit bericht verder niet of nauwelijks in ( dat heb ik al wel eerder gedaan).
Behalve een meldplicht bevat de wet ook een administratieplicht. Die administratieplicht staat in lid 8. Dit artikellid luidt als volgt:
De woorden " inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens" verwijzen naar meldingsplichtige inbreuken.
Als we de verplichting opknippen, iets leesbaarder verwoorden en alle verwijzingen vervangen door de feitelijke tekst, dan staat er dus
Dit overzicht moet, naar aanleiding van vragen van dhr. Franken in de Eerste Kamer, naar de huidige regels voor minimaal een jaar worden bewaard.
Nieuwe regels per 25 mei 2018
De bestaande regels worden per 25 mei 2018 vervangen door de nieuwe privacyverordening.
Ook de nieuwe privacyverordening kent een "meldplicht datalekken". Deze wordt echter niet zo genoemd. De term in de verordening is een " inbreuk in verband met persoonsgegevens" (persoonlijk vind ik het Engelse " personal data breach" fraaier).
Omschrijving van een "datalek"
Waar de huidige Wbp eigenlijk niet precies definieert wat een "datalek" nu precies is, wordt hiertoe in de verordening wel een poging gedaan. Een " inbreuk in verband met persoonsgegevens" wordt namelijk als volgt gedefinieerd:
Meldplicht in de verordening
De meldplicht datalekken is verder uitgewerkt in de artikelen 33 en 34 van de verordening. In lid 1 staat dat alle inbreuken binnen 72 uur moeten worden gemeld, tenzij " het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen".
Die meldplicht werk ik in dit blogbericht verder niet uit (dat komt ongetwijfeld nog wel in een volgend bericht).
Administratieplicht onder de toekomstige meldplicht
Opmerkelijk is vervolgens dat lid 5 van artikel 33 stelt dat "alle inbreuken", dus ook de niet-meldingsplichtige, moeten worden geadministreerd. Het artikellid luidt als volgt:
Zelfs kleine incidenten voortaan bijhouden
Onder komend recht moet dus een veel omvangrijker administratie worden bijgehouden dan nu het geval is. Ieder incident waarbij iemand "per ongeluk" toegang krijgt tot gegevens is immers, naar de letter (zie de definitie hiervoor), al administratieplichtig. Een organisatie van een beetje omvang kan dus een (Big Brother) functionaris gaan aanstellen die iedere vergissing gaat administreren. Dit lijkt lastig te verenigen met een van de doelen van de nieuwe privacyverordening: vermindering van administratieve lasten (laat staan het onnodig monitoren van werknemers).
Inhoud administratieplicht vergelijkbaar
De informatie die moet worden opgeslagen lijkt overigens sterk op wat er thans onder Nederlands recht moet worden bewaard. Opvallend verschil is wel dat in Nederland evident is dat de kennisgeving aan de betrokkene moet worden bewaard, terwijl dat onder komend recht wel logisch is, maar niet echt "hard" in de regels staat.
Bewaartermijn onduidelijk
De nieuwe regels maken niet duidelijk hoe lang het overzicht moet worden bewaard. Hopelijk komt daarover tijdig helderheid.
Aandachtspunt voor verantwoordelijken in de bewerkersovereenkomst
Veel bedrijven en instellingen hebben (een deel van) hun persoonsgegevens in de praktijk vaak buiten de deur staan bij IT-leveranciers. Die IT-leveranciers kwalificeren veelal als "bewerker" in de zin van de WBP c.q. als "verwerker" in de zin van de verordening.
Het is opvallend dat zowel de huidige WBP als de toekomstige verordening niet voorzien in het verplicht doorgeven van die administratieplicht.
Verplichte afspraken volgens huidige wetgeving
De huidige WBP bepaalt namelijk alleen dat de verantwoordelijke er voor zorg moet dragen dat de bewerker " de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt". Of iets simpeler gezegd: er moeten afspraken worden gemaakt over de melding van meldingsplichtige datalekken.
Onder huidig recht is het (dus) niet verplicht afspraken te maken over het bijhouden van een administratie over die datalekken. Dat is uiteraard wel verstandig te doen, want de toezichthouder kan immers vragen om inzage in die administratie. Als die administratie er niet blijkt te zijn, kan de toezichthouder handhavend optreden en zelfs boetes opleggen.
Verplichte afspraken volgens toekomstige wetgeving
Onder komend recht is het in de kern niet veel anders. Artikel 28 van de privacyverordening bevat (vrij uitgebreide) voorschriften over het inschakelen van een bewerker. Zo wordt behoorlijk gedetailleerd voorgeschreven waaraan een bewerkersovereenkomst moet voldoen.
Als het gaat over de meldplicht datalekken is de verordening echter best voorzichtig in de woordkeuze. Volgens lid 3 onder f moet de bewerkersovereenkomst namelijk bepalen dat de verwerker " rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van" onder andere de meldplicht datalekken. "Bijstand verlenen bij" is in ieder geval minder dan het één op één doorgeven van de administratieplicht.
Praktijktip: maak hierover wel afspraken
Uiteraard doen verantwoordelijken er verstandig aan in de bewerkersovereenkomst (of straks waarschijnlijk: verwerkersovereenkomst) verder strekkende afspraken te maken en juist wel te regelen dat de bewerker/verwerker de administratie bijhoudt. Verantwoordelijken kunnen anders met lege handen staan als de toezichthouder aanklopt en inzage vraagt in de (wettelijk verplichte) administratie.
Aandachtspunt voor IT-leveranciers
Ten slotte nog een aandachtspunt voor IT-leveranciers. Artikel 33 lid 2 van de verordening bepaalt dat verwerkers de verwerkingsverantwoordelijke moeten informeren over inbreuken in verband met persoonsgegevens. Hier staat geen uitzondering voor de inbeuken die geen risico voor de privacy bevatten. Het lijkt er dus op dat IT-leveranciers straks alle incidenten aan hun klanten moeten gaan melden, inclusief hele onschuldige incidentele incidenten. Dit op straffe van stevige boetes (zie artikel 83). Het is de vraag of de verordening werkelijk zo bedoeld is. Ook hier is het afwachten op nadere duiding door de toezichthouders of de rechtspraak.
Meer informatie
Heeft u vragen over het privacyrecht? Neem dan contact met ons op.
Administratieplicht onder de huidige meldplicht
De huidige "meldplicht datalekken" staat in artikel 34a Wet bescherming persoonsgegevens. Op de meldplicht ga ik in dit bericht verder niet of nauwelijks in ( dat heb ik al wel eerder gedaan).
Behalve een meldplicht bevat de wet ook een administratieplicht. Die administratieplicht staat in lid 8. Dit artikellid luidt als volgt:
De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.
De woorden " inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens" verwijzen naar meldingsplichtige inbreuken.
Als we de verplichting opknippen, iets leesbaarder verwoorden en alle verwijzingen vervangen door de feitelijke tekst, dan staat er dus
- De verantwoordelijke
- houdt een overzicht bij van
- iedere inbreuk die moet worden gemeld
- Het overzicht bevat in ieder geval
- feiten en gegevens omtrent de aard van de inbreuk,
- de instanties waar meer informatie over de inbreuk kan worden verkregen
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken,
- alsmede de tekst van de kennisgeving aan de betrokkene.
Dit overzicht moet, naar aanleiding van vragen van dhr. Franken in de Eerste Kamer, naar de huidige regels voor minimaal een jaar worden bewaard.
Nieuwe regels per 25 mei 2018
De bestaande regels worden per 25 mei 2018 vervangen door de nieuwe privacyverordening.
Ook de nieuwe privacyverordening kent een "meldplicht datalekken". Deze wordt echter niet zo genoemd. De term in de verordening is een " inbreuk in verband met persoonsgegevens" (persoonlijk vind ik het Engelse " personal data breach" fraaier).
Omschrijving van een "datalek"
Waar de huidige Wbp eigenlijk niet precies definieert wat een "datalek" nu precies is, wordt hiertoe in de verordening wel een poging gedaan. Een " inbreuk in verband met persoonsgegevens" wordt namelijk als volgt gedefinieerd:
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens
Meldplicht in de verordening
De meldplicht datalekken is verder uitgewerkt in de artikelen 33 en 34 van de verordening. In lid 1 staat dat alle inbreuken binnen 72 uur moeten worden gemeld, tenzij " het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen".
Die meldplicht werk ik in dit blogbericht verder niet uit (dat komt ongetwijfeld nog wel in een volgend bericht).
Administratieplicht onder de toekomstige meldplicht
Opmerkelijk is vervolgens dat lid 5 van artikel 33 stelt dat "alle inbreuken", dus ook de niet-meldingsplichtige, moeten worden geadministreerd. Het artikellid luidt als volgt:
De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.
Zelfs kleine incidenten voortaan bijhouden
Onder komend recht moet dus een veel omvangrijker administratie worden bijgehouden dan nu het geval is. Ieder incident waarbij iemand "per ongeluk" toegang krijgt tot gegevens is immers, naar de letter (zie de definitie hiervoor), al administratieplichtig. Een organisatie van een beetje omvang kan dus een (Big Brother) functionaris gaan aanstellen die iedere vergissing gaat administreren. Dit lijkt lastig te verenigen met een van de doelen van de nieuwe privacyverordening: vermindering van administratieve lasten (laat staan het onnodig monitoren van werknemers).
Inhoud administratieplicht vergelijkbaar
De informatie die moet worden opgeslagen lijkt overigens sterk op wat er thans onder Nederlands recht moet worden bewaard. Opvallend verschil is wel dat in Nederland evident is dat de kennisgeving aan de betrokkene moet worden bewaard, terwijl dat onder komend recht wel logisch is, maar niet echt "hard" in de regels staat.
Bewaartermijn onduidelijk
De nieuwe regels maken niet duidelijk hoe lang het overzicht moet worden bewaard. Hopelijk komt daarover tijdig helderheid.
Aandachtspunt voor verantwoordelijken in de bewerkersovereenkomst
Veel bedrijven en instellingen hebben (een deel van) hun persoonsgegevens in de praktijk vaak buiten de deur staan bij IT-leveranciers. Die IT-leveranciers kwalificeren veelal als "bewerker" in de zin van de WBP c.q. als "verwerker" in de zin van de verordening.
Het is opvallend dat zowel de huidige WBP als de toekomstige verordening niet voorzien in het verplicht doorgeven van die administratieplicht.
Verplichte afspraken volgens huidige wetgeving
De huidige WBP bepaalt namelijk alleen dat de verantwoordelijke er voor zorg moet dragen dat de bewerker " de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt". Of iets simpeler gezegd: er moeten afspraken worden gemaakt over de melding van meldingsplichtige datalekken.
Onder huidig recht is het (dus) niet verplicht afspraken te maken over het bijhouden van een administratie over die datalekken. Dat is uiteraard wel verstandig te doen, want de toezichthouder kan immers vragen om inzage in die administratie. Als die administratie er niet blijkt te zijn, kan de toezichthouder handhavend optreden en zelfs boetes opleggen.
Verplichte afspraken volgens toekomstige wetgeving
Onder komend recht is het in de kern niet veel anders. Artikel 28 van de privacyverordening bevat (vrij uitgebreide) voorschriften over het inschakelen van een bewerker. Zo wordt behoorlijk gedetailleerd voorgeschreven waaraan een bewerkersovereenkomst moet voldoen.
Als het gaat over de meldplicht datalekken is de verordening echter best voorzichtig in de woordkeuze. Volgens lid 3 onder f moet de bewerkersovereenkomst namelijk bepalen dat de verwerker " rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van" onder andere de meldplicht datalekken. "Bijstand verlenen bij" is in ieder geval minder dan het één op één doorgeven van de administratieplicht.
Praktijktip: maak hierover wel afspraken
Uiteraard doen verantwoordelijken er verstandig aan in de bewerkersovereenkomst (of straks waarschijnlijk: verwerkersovereenkomst) verder strekkende afspraken te maken en juist wel te regelen dat de bewerker/verwerker de administratie bijhoudt. Verantwoordelijken kunnen anders met lege handen staan als de toezichthouder aanklopt en inzage vraagt in de (wettelijk verplichte) administratie.
Aandachtspunt voor IT-leveranciers
Ten slotte nog een aandachtspunt voor IT-leveranciers. Artikel 33 lid 2 van de verordening bepaalt dat verwerkers de verwerkingsverantwoordelijke moeten informeren over inbreuken in verband met persoonsgegevens. Hier staat geen uitzondering voor de inbeuken die geen risico voor de privacy bevatten. Het lijkt er dus op dat IT-leveranciers straks alle incidenten aan hun klanten moeten gaan melden, inclusief hele onschuldige incidentele incidenten. Dit op straffe van stevige boetes (zie artikel 83). Het is de vraag of de verordening werkelijk zo bedoeld is. Ook hier is het afwachten op nadere duiding door de toezichthouders of de rechtspraak.
Meer informatie
Heeft u vragen over het privacyrecht? Neem dan contact met ons op.
Gerelateerd
Privacy
