Boetes en datalekken op grond van de Wet bescherming persoonsgegevens

Boetes en datalekken op grond van de Wet bescherming persoonsgegevens

Boetes en datalekken op grond van de Wet bescherming persoonsgegevens 150 150 Capra Advocaten
image_pdf

De afgelopen jaren zijn bij overheidsorganisaties steeds meer vragen gaan leven over de geldende en komende privacyregels. Capra heeft steeds vaker geadviseerd over de mogelijkheden en verplichtingen op grond van de Wet bescherming persoonsgegevens (Wbp) – denk aan de al dan niet rechtmatige verwerking van persoonsgegevens, de verplichting om een bewerkersovereenkomst te sluiten, de rechten van de betrokkenen en de benoeming van een functionaris voor de gegevensbescherming. Het is niet opmerkelijk dat er zoveel aandacht is voor privacy de laatste jaren, gelet op onder andere de Algemene verordening gegevensbescherming (oftewel de Europese privacyverordening) die al jaren in de maak is. Medio december 2015 hebben de Europese Commissie, het Parlement en de Raad een akkoord bereikt over de (tekst van de) verordening. De verwachting is op dit moment dat deze over grofweg een jaar of twee in werking treedt.

Ook is de Wbp sinds 1 januari 2016 gewijzigd naar aanleiding van een groot aantal incidenten, waarbij door een inbreuk op de beveiliging van, onder meer, websites persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer. De Wbp regelt nu, in artikel 34a, de zogenaamde meldplicht datalekken en ook is de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens uitgebreid. PwC heeft afgelopen januari geconstateerd dat veel organisaties niet goed zijn voorbereid op de nieuwe regels. Ik zal hierna heel kort ingaan op enkele aspecten van de uitgebreide boetebevoegdheid en de meldplicht datalekken.

Boetebevoegdheid Autoriteit Persoonsgegevens

Of organisaties er klaar voor zijn of niet, de Autoriteit Persoonsgegevens kan nu in ieder geval bij overtreding van bijna elke bepaling van de Wbp (onder meer alle hoofdverplichtingen van de verantwoordelijke zoals bedoeld in de wet) een bestuurlijke boete opleggen. De boetes kunnen oplopen tot maximaal € 820.000 of 10% van de netto-omzet van de (rechtspersoon van de) overtreder. Wel volgt uit de wet dat de Autoriteit Persoonsgegevens in de meeste gevallen eerst een bindende aanwijzing moet geven, alvorens een boete wordt opgelegd. In de bindende aanwijzing zal de Autoriteit Persoonsgegevens moeten aangeven welke gedraging op grond van de wet van de overtreder wordt verwacht. Zo mogelijk moet aan de overtreder worden opgedragen de overtreding, al dan niet gedeeltelijk, te herstellen. De Autoriteit Persoonsgegevens kan aan het opvolgen van de aanwijzing een termijn verbinden. Als de aanwijzing vervolgens niet wordt opgevolgd, is de Autoriteit Persoonsgegevens om die reden al bevoegd om een boete op te leggen. De verplichting van de bindende aanwijzing geldt niet, als de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 is de uitgebreide boetebevoegdheid nader uitgewerkt – door middel van een categorie-indeling en bandbreedte systematiek. De toelichting vermeldt het volgende:

“De beboetbare bepalingen op de naleving waarvan de Autoriteit Persoonsgegevens toezicht houdt, zijn per wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500 ingedeeld in een aantal boetecategorieën, en daaraan verbonden in hoogte oplopende boetebandbreedtes.

De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, waarbij categorie I de minst zware overtredingen bevat en categorie II of III de zwaarste overtredingen.”

Als er een overtreding is vastgesteld, wordt er eerst een zogenaamde basisboete bepaald en vervolgens kan de boete worden verlaagd of verhoogd, al naar gelang de ernst van de overtreding.

Meldplicht datalekken

Ook bij overtreding van de meldplicht datalekken kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Voor de toepassing van artikel 34a Wbp zijn tevens beleidsregels opgesteld. De verantwoordelijke zoals bedoeld in de Wbp heeft de meldplicht. Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Tevens moet er een inbreuk op de beveiliging zijn, waarbij het gaat om de beveiliging die op grond van de wet is verplicht. Een zwakke beveiliging levert dus niet per definitie een datalek op. Die inbreuken, oftewel datalekken, moeten worden gemeld en gedocumenteerd. Denk hierbij aan bijvoorbeeld het verliezen van een mobiele telefoon, USB-stick, sleutelbos of keycard, ongeautoriseerde inzage in persoonsgegevens, het delen van privacygevoelige informatie in een publieke ruimte, brand of andere vernietiging van gegevens, het onbeveiligd zenden van een e-mailbericht naar een verkeerd e-mailadres, een hack, et cetera.

Maar niet elk datalek moet gemeld worden. Een datalek moet onverwijld worden gemeld aan de Autoriteit Persoonsgegevens, als er een aanzienlijke kans bestaat op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Kortom, ernstige datalekken moeten worden gemeld. Hierbij dient ook rekening te worden gehouden met de aard van de gegevens. Een datalek kan worden gemeld via een webformulier. Na het ontdekken van een mogelijk datalek, mag er enige tijd worden genomen voor een nader onderzoek, om een onnodige melding te voorkomen. De termijn begint te lopen zodra de verantwoordelijke, of de ingeschakelde bewerker, op de hoogte raakt van een mogelijke datalek. De verantwoordelijke moet toezien op naleving door de bewerker. In de wet is niet voorgeschreven welke afspraken er met een bewerker moeten worden gemaakt, maar in de beleidsregels staat terecht dat in ieder geval gedacht moet worden aan het volgende:

  • Gaat de bewerker u daadwerkelijk informeren over alle relevante incidenten?
  • Gaat de bewerker eventueel zelf meldingen doen aan de Autoriteit Persoonsgegevens?
  • Ontvangt u per incident alle informatie die u nodig heeft?
  • Hoe gaat de bewerker u informeren over de incidenten?
  • Wordt u tijdig geïnformeerd over de incidenten?
  • Wordt u op de hoogte gehouden van eventuele nieuwe ontwikkelingen rond het incident, en van de maatregelen die de bewerker treft om aan zijn kant de gevolgen van het incident te beperken en herhaling te voorkomen?
  • Kunt u vaststellen dat u daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt?

Zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, moet de melding op grond van de beleidsregels worden gedaan, tenzij dan inmiddels uit het onderzoek is gebleken dat de meldplicht niet aan de orde is. Als er op dat moment nog geen volledig zicht bestaat op wat er gebeurd is en om welke persoonsgegevens het gaat, kan de melding op een later moment worden aangevuld. Als het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de betrokkenen van wie de gegevens gelekt zijn, moet het datalek ook onverwijld worden gemeld aan deze betrokkenen.

Hoe een en ander zal uitpakken in de praktijk is nog even afwachten. De Autoriteit Persoonsgegevens zal zich in 2016 in ieder geval op hoofdlijnen richten op dezelfde prioriteiten als de jaren hiervoor, te weten onder andere de beveiliging van persoonsgegevens, persoonsgegevens bij de (digitale) overheid, medische gegevens en persoonsgegevens in de  arbeidsrelatie. Dus staat de meldplicht datalekken, logischerwijs, op de agenda dit jaar. Capra staat u uiteraard graag bij, als u bijvoorbeeld nog vragen heeft over de wijzigingen in de Wbp per 1 januari 2016, een juridische check wilt uitvoeren naar aanleiding van de nieuwe regels, of de bewerkersovereenkomsten nog moet aanpassen.

Fatou Tevette

Contact over dit onderwerp

Fatou Tevette

Fatou Tevette

Advocaat
Vestiging:
Den Haag
Sector:
Overheid
Expertteam:
Arbeidsrecht, Ambtenarenrecht, Algemene verordening gegevensbescherming, Wet openbaarheid van bestuur
Telefoon:
070 - 364 81 02
Mobiel:
06 18 50 10 61

Gerelateerd

Aanpassingswetgeving WNRA: drie praktijkvragen beantwoord 150 150 Capra Advocaten

Aanpassingswetgeving WNRA: drie praktijkvragen beantwoord

Artikel

lees meer
Advies bij toepassing model arbeidsovereenkomst VNG 150 150 Capra Advocaten

Advies bij toepassing model arbeidsovereenkomst VNG

Artikel

lees meer
Scan uw lokale regelingen voor de invoering van de Wnra 150 150 Capra Advocaten

Scan uw lokale regelingen voor de invoering van de Wnra

Artikel

lees meer
De Wnra heeft gevolgen voor uw mandaat- en volmachtbesluiten 150 150 Capra Advocaten

De Wnra heeft gevolgen voor uw mandaat- en volmachtbesluiten

Artikel

lees meer
Eigenrisico dragen voor ZW en WGA: wat betekent dat? 150 150 Capra Advocaten

Eigenrisico dragen voor ZW en WGA: wat betekent dat?

Artikel

lees meer
Van school verwijderd: is dat een straf? 150 150 Capra Advocaten

Van school verwijderd: is dat een straf?

Artikel

lees meer
De quotumregeling arbeidsbeperkten wordt geactiveerd 150 150 Capra Advocaten

De quotumregeling arbeidsbeperkten wordt geactiveerd

Artikel

lees meer
Rechtsbescherming onder de Wnra 150 150 Capra Advocaten

Rechtsbescherming onder de Wnra

Artikel

lees meer
Waarschuwing of toch een berisping? 150 150 Capra Advocaten

Waarschuwing of toch een berisping?

Artikel

lees meer
Het recht op vergetelheid in het onderwijs 150 150 Capra Advocaten

Het recht op vergetelheid in het onderwijs

Artikel

lees meer
De verstandhouding tussen school en ouders 150 150 Capra Advocaten

De verstandhouding tussen school en ouders

Artikel

lees meer
Kiest u voor een eigen cao of voor een sectorale cao? 150 150 Capra Advocaten

Kiest u voor een eigen cao of voor een sectorale cao?

Artikel

lees meer
Iedereen is gelijk, maar niet hetzelfde 150 150 Capra Advocaten

Iedereen is gelijk, maar niet hetzelfde

Artikel

lees meer
Zorg, onderwijs en ambtenaar? 150 150 Capra Advocaten

Zorg, onderwijs en ambtenaar?

Artikel

lees meer
U maakt toch geen reclame? 150 150 Capra Advocaten

U maakt toch geen reclame?

Artikel

lees meer
Het medisch beroepsgeheim onder druk 150 150 Capra Advocaten

Het medisch beroepsgeheim onder druk

Artikel

lees meer
De Wet openbaarheid van bestuur 150 150 Capra Advocaten

De Wet openbaarheid van bestuur

Artikel

lees meer
Wet aanpak schijnconstructies (WAS) 150 150 Capra Advocaten

Wet aanpak schijnconstructies (WAS)

Artikel

lees meer
Nieuwe regels omtrent aanbestedingen? 150 150 Capra Advocaten

Nieuwe regels omtrent aanbestedingen?

Artikel

lees meer
Aanbesteden; een goed begin is het halve werk 150 150 Capra Advocaten

Aanbesteden; een goed begin is het halve werk

Artikel

lees meer

Blijf op de hoogte

Onze nieuwsbrief Capra Concreet verschijnt ongeveer 10 keer per jaar. In de nieuwsbrief houden wij u op de hoogte over ontwikkelingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. In de Capra Concreet leest u over interessante jurisprudentie en wetswijzigingen op het gebied van het ambtenarenrecht, arbeidsrecht, bestuurlijke samenwerking en andere actuele thema’s die voor u van belang kunnen zijn.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC ‘s-Gravenhage
Telefoon 070-364 81 02
Fax 070-361 78 47
s-gravenhage@capra.nl

Vestiging ‘s-Hertogenbosch
Bastion Vught 1
5211 CZ ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl