Als gevolg van een aantal incidenten, waarbij door een beveiligingsfout grote hoeveelheden persoonsgegevens op straat zijn beland, ontstond behoefte aan een betere bescherming en beveiliging van persoonsgegevens. Resultaat is dat er een meldplicht van datalekken is geïntroduceerd. Deze meldplicht moet er volgens de wetgever toe leiden dat het vertrouwen in de omgang met persoonsgegevens wordt behouden en hersteld.
Op 10 februari 2015 is het wetsvoorstel voor de meldplicht van datalekken (zie kader) met algemene stemmen aangenomen door de Tweede Kamer. In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (Wbp) voor de verantwoordelijke als er sprake is van een inbreuk op de beveiliging die ernstige nadelig gevolgen heeft voor de bescherming van verwerkte persoonsgegevens, of simpel gezegd als er sprake is van een datalek.
De meldplicht geldt voor alle verantwoordelijken in de zin van de Wbp. Artikel 1 sub d definieert de verantwoordelijke als ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’. Zowel private als publieke organisaties die persoonsgegevens verwerken zullen na de inwerkingtreding van het wetsvoorstel dus worden verplicht om datalekken te melden. In dit verband is van belang dat enkel deze meldplicht rust op de verantwoordelijke.
Voor de bewerker geldt de meldplicht niet. Voor bijvoorbeeld hosting providers of SaaS dienstverleners, die in het algemeen niet verantwoordelijk zijn voor de verwerking van persoonlijke data, is het dus van belang om duidelijk vast te leggen dat zij slechts als bewerker moeten worden aangemerkt en de data slechts verwerken in opdracht van de verantwoordelijke. Daarnaast zal moeten worden vastgelegd hoe de bewerker en de verantwoordelijke zullen handelen als een datalek wordt ontdekt. De (wettelijk verplichte) bewerkersovereenkomst leent zich daar bij uitstek voor.
Het wetsvoorstel leidt tot een uitbreiding van de Wbp. Artikel 34a wordt toegevoegd aan de Wbp, waarin de meldplicht is neergelegd. Dit artikel bevat de verplichting voor de verantwoordelijke om het datalek te melden aan het College Bescherming Persoonsgegevens (CBP), en onder bepaalde voorwaarden aan de betrokkene wiens persoonlijke data is gelekt.
Als er geen (tijdige) melding wordt gemaakt van een datalek kan dit bestraft worden met een forse bestuurlijk boete van het College Bescherming Persoonsgegevens.
Het wetsvoorstel moet nog worden goedgekeurd door de Eerst Kamer, die al heeft aangegeven het wetsvoorstel dit jaar te willen behandelen. Bedrijven, instellingen en andere personen die als verantwoordelijke of als bewerker betrokken zijn bij de verwerking van persoonsgegevens, doen er derhalve goed aan om alvast te kijken of zij in staat zijn om aan de meldplicht te voldoen.
Van belang is in ieder geval dat de databeveiliging goed op orde is, er een datalekprotocol wordt opgesteld en heldere afspraken worden gemaakt tussen de bewerker en de verantwoordelijke.
Meldplicht in Wbp
Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP), 10 februari 2015, 33 662
Quote: Voor de bewerker geldt de meldplicht niet. Voor bijvoorbeeld hosting providers of SaaS dienstverleners
Kortom voor de avonturiers die wat WordPress of Joomla bagger hebben geproduceerd en daarmee gegevens van vele klanten op straat fooien veranderd er niets.
Dan heeft deze wet ook niet zo bijster veel zin.
@Pascal
Dat klopt niet. Het gaat er om wie verantwoordelijk is en dat is diegene(n) die de website runnen. Een verplichting tot schriftelijke afspraken kan ik toejuichen want daar rammelt het meestal.
Zoals ik hier
https://www.computable.nl/artikel/opinie/internet/5219180/1282763/jagers-en-verzamelaars-in-ictland.html
al eerder schreef wordt er vlijtig verzameld zonder behoorlijk privacy-beleid.
Ik vind dit nog wel eens een debatje waard. Wellicht vanuit een ietwat ander oogpunt. Het lijkt mij evident dat je als IT professional natuurlijk altijd een overdrachtelijke verantwoordelijkheid voelt omissies, van welke aard dan ook, kenbaar te maken.
Dat kan gaan om een ‘broken link’ dat je tegenkomt tot een website die soms kuren kan vertonnen.
Laat onverlet dat je met het toenemen van de steeds grootschaliger incidenten helaas mijn voorspellingen werkelijkheid worden. Dat IT profs, met alle respect voor hun individuele discipline, steeds minder oog hebben voor IT standaard governance maar zich wel blind staren op.
Het ‘fenomeen’ zzp in IT is dan ook een heel groot risico in dit verhaal.
@Numoquest
De ZZPer is niet het risico, de organisatie de zijn verantwoordelijkheid bij anderen wil leggen zonder fatsoenlijke randvoorwaarden en functiescheiding is de bron van de problemen.
Goed overzicht van de situatie in de nabije toekomst. Bedrijven dienen zich hierop voor te bereiden. Bij een datalek moet er “onverwijld” een melding gedaan worden aan de toezichthouder. (CBP). Deze melding is geen simpel emailtje om even te zeggen dat er een datalek heeft plaatsgevonden. De melding zal informatie moeten bevatten over de aard van het lek, de omvang, welke informatie het betreft, de maatregelen die worden genomen, de betrokkenen, de mate van privacyschending, etc. Het CBP heeft laten weten dat ze hierover in een later stadium met richtlijnen zullen komen. Deze informatie dient voorhanden te zijn in de organisatie. Begin daarom met een inventarisatie van alle informatie die je in de organisatie hebt. Welke bestanden, wat voor informatie staat daarin, wie hebben toegang, zijn er backups, waar staan die bestanden, betreft het persoonsgegevens, moet het aangemeld worden bij CBP, etc.etc. Dit zijn vragen die veel bedrijven niet kunnen beantwoorden. Als je niet weet wat je hebt kun je het ook niet beschermen.
Ook voor de bewerker geldt een meldplicht, namelijk voor inbreuken op de beveiliging van persoonsgegevens die door hem ten behoeve van de verantwoordelijke worden verwerkt.
Artikel I, onder A van de voorgestelde wet meldplicht datalekken is daar heel helder over.
Deze bepaalt dat de verantwoordelijke zorg draagt dat de bewerker ‘voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt.’
Tevens bepaalt deze dat de verantwoordelijke zorg draagt dat de bewerker de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging…..
Ook bepaalt deze dat de bewerkersovereenkomst moet worden uitgebreid met bepalingen die zien op de de verplichting tot melding van een inbreuk op de beveiliging (een datalek).
Op de bewerker rust dus een meldplicht – onverwijld – van datalekken aan de verantwoordelijke. Op de verantwoordelijke rust een meldplicht – onverwijld – van datalekken aan het CBP en soms ook de betrokkenen.
@Koch: Dank voor uw reactie en heldere toevoeging.
@Biesheuvel: Eveneens dank voor uw commentaar. Zuiver juridisch rust op de bewerker geen wettelijke meldplicht. De verantwoordelijke zal worden verplicht om in de bewerkersovereenkomst vast te leggen dat de bewerker de verantwoordelijke onverwijld informeert van een datalek. De wettelijke meldplicht aan het CBP rust echter op de verantwoordelijke. De relatie tussen de bewerker en de verantwoordelijke is daarnaast van privaatrechtelijke aard. Het voorgaande laat onverlet dat de bewerker geen vrijbrief krijgt in dezen en wel degelijk verplichtingen heeft in geval van een datalek. Ook de bewerker moet zorgvuldig en adequaat acteren.