Meldplicht datalekken onder de Algemene Verordening Gegevensbescherming

Sinds 1 januari 2016 is in de Wet bescherming persoonsgegevens (Wbp) de zogeheten meldplicht datalekken opgenomen (artikel 34a Wbp). Met deze meldplicht was Nederland één van de voorlopers binnen de Europese Unie (EU) als het ging om datalekken met betrekking tot persoonsgegevens. Met de Algemene Verordening Gegevensbescherming (AVG) zal er per 25 mei 2018 voor de gehele Europese Unie (inclusief Nederland) een nieuwe meldplicht datalekken gaan gelden ten aanzien van persoonsgegevens (artikelen 33 en 34 AVG). Daarmee zal de huidige Nederlandse meldplicht datalekken komen te vervallen. Qua structuur lijkt de nieuwe Europese meldplicht op de huidige Nederlandse meldplicht, maar er zijn ook belangrijke verschillen. In deze bijdrage bespreken wij enkele aandachtspunten.

Wat is een datalek eigenlijk?

In de AVG is een datalek omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Kern daarbij is dat het moet gaan om een beveiligingsincident dat betrekking heeft op persoonsgegevens. Zijn er geen persoonsgegevens in het spel, dan is er geen sprake van een datalek als bedoeld in de AVG.

De Artikel 29 Werkgroep – de werkgroep waarvan de Europese privacytoezichthouders deel uitmaken – heeft in haar recente advies over de meldplicht datalekken onder de AVG enkele voorbeelden van datalekken gegeven. Bij datalekken kan gedacht worden aan een situatie waarin een laptop of USB-stick met persoonsgegevens wordt verloren of gestolen, of aan een situatie waarin een hacker zich toegang verschaft tot een computer met persoonsgegevens of waarin een dergelijke computer als gevolg van ransomware wordt versleuteld. In haar advies geeft de Artikel 29 Werkgroep ook aan dat de tijdelijke onbeschikbaarheid van persoonsgegevens als een datalek beschouwd dient te worden, tenzij de onbeschikbaarheid het gevolg is van gepland onderhoud.

Dit laatste lijkt een uitbreiding ten opzichte van de omschrijving van een datalek onder de Wbp. In de Wbp wordt met betrekking tot een datalek gesproken van een inbreuk op de beveiliging als bedoeld in artikel 13 van de Wbp. In dit artikel wordt een verantwoordelijke (de partij die doel en middelen van een verwerking bepaalt) verplicht om passende en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. In haar beleidsregels over de meldplicht datalekken heeft de Autoriteit Persoonsgegevens (AP) toegelicht dat er sprake is van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of een onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet valt uit te sluiten. In zoverre heeft een datalek onder de Wbp bovenal betrekking op verlies of andere onrechtmatige verwerkingen van persoonsgegevens en niet zozeer op de onbeschikbaarheid van persoonsgegevens (ervan uitgaande dat die gegevens niet zijn verloren of anderszins onrechtmatig zijn verwerkt).

Wanneer moet er een datalek gemeld worden?

Het is onder de AVG – net als nu onder de Wbp – niet zo dat ieder datalek gemeld hoeft te worden aan de Autoriteit Persoonsgegevens (AP) en betrokkenen (de individuen waarop de persoonsgegevens betrekking hebben). De verwerkingsverantwoordelijke moet een datalek zonder onredelijke vertraging (en uiterlijk binnen 72 uur nadat hij er kennis van heeft genomen) melden aan de AP, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Melden kan via het meldingsprogramma op de website van de AP.

De Artikel 29 Werkgroep geeft in haar recente advies aan dat van dit laatste sprake onder meer kan zijn als persoonsgegevens dusdanig zijn versleuteld dat onbevoegden daarvan geen kennis kunnen nemen en de verwerkingsverantwoordelijke nog over de persoonsgegevens beschikt (bijvoorbeeld via backups). Met betrekking tot de termijn van 72 uur merkt de Artikel 29 Werkgroep op dat een verwerkingsverantwoordelijke op zich een korte periode van onderzoek mag verrichten om vast te stellen of al dan niet een datalek heeft plaatsgevonden. Gedurende deze korte periode zal de termijn van 72 uur nog niet gaan lopen. Zodra echter redelijkerwijs kan worden vastgesteld dat een datalek heeft plaatsgevonden, zal de termijn wel gaan lopen.

Onder de AVG dienen betrokkenen onverwijld geïnformeerd te worden als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De AVG geeft daarbij drie situaties waarin een melding aan betrokkenen echter niet is vereist:

• de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop het datalek betrekking heeft. Gedacht kan worden aan versleuteling waardoor persoonsgegevens onleesbaar zijn voor onbevoegden.
• de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen.
• de rechtstreekse melding aan betrokkenen zou onevenredige inspanningen vergen (bijvoorbeeld omdat de verwerkingsverantwoordelijke niet over de benodigde contactgegevens beschikt). In de plaats daarvan dient de verwerkingsverantwoordelijke een openbare mededeling te doen of een soortgelijke maatregel te nemen waarbij betrokkenen even doeltreffend worden geïnformeerd.

De meldplicht datalekken onder de AVG vergt een andere toets dan onder de Wbp. In de Wbp wordt gesproken over datalekken die leiden tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (voor melden aan de AP) en over datalekken die waarschijnlijk ongunstige gevolgen zullen hebben voor de persoonlijke levenssfeer van betrokkenen (voor melden aan betrokkenen). Onder de AVG is er dus eerder sprake van een situatie waarin gemeld zou moeten worden, nu een lagere drempel wordt gehanteerd.

Overigens dient een verwerkingsverantwoordelijke alle datalekken bij te gaan houden in een register, ook datalekken die niet gemeld hoeven te worden aan de AP en betrokkenen. Van belang is dan ook dat de verwerkingsverantwoordelijke binnen de organisatie een procedure hanteert zodat een datalek kan worden geregistreerd en ook tijdig beoordeeld kan worden of het datalek al dan niet gemeld moet worden aan de AP en betrokkenen. Daarbij is ook van belang om rekening te houden dat datalekken die in eerste instantie niet gemeld hoeven te worden, wellicht in de toekomst wel gemeld zouden moeten worden (bijvoorbeeld omdat de beveiliging zal zijn verouderd). Van tijd tot tijd zal een verwerkingsverantwoordelijke moeten nagaan of hiervan sprake is ten aanzien van eerdere niet-gemelde datalekken.

Wat is de rol van een verwerker?

In de praktijk komt het veelvuldig voor dat een verwerkingsverantwoordelijke een verwerker inschakelt bij de uitvoering van een bepaalde verwerking (denk aan hosting, salarisadministratie of verzuimbeheer). De AVG bepaalt de verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt: de zogeheten verwerkersovereenkomst. Daarin dient onder meer geregeld te worden dat de verwerker – rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie – bijstand verleent aan de verwerkingsverantwoordelijke bij het doen nakomen van de meldplicht datalekken. In dat verband is in de AVG bepaald dat de verwerker de verwerkingsverantwoordelijke zonder onredelijke vertraging informeert zodra hij kennis heeft genomen van een datalek.

De Artikel 29 Werkgroep licht in haar advies toe dat een verwerker niet hoeft te beoordelen of een datalek eventueel gemeld dient te worden aan de AP en betrokkenen. Dit is iets wat de verwerkingsverantwoordelijke dient te doen zodra hij kennis heeft genomen van een datalek. De verwerker dient slechts vast te stellen of er sprake is van datalek en vervolgens de verwerkingsverantwoordelijke daarvan onverwijld op de hoogte te stellen. In de praktijk zien wij regelmatig dat verwerkers bedingen dat zij de verwerkingsverantwoordelijke alleen op de hoogte hoeven te stellen van datalekken die gemeld moeten worden aan de AP en/of betrokkenen. Dit komt echter niet overeen met de AVG. Op grond van de AVG dient een verwerker juist alle datalekken door te geven aan de verwerkingsverantwoordelijke, ook de datalekken die niet gemeld hoeven te worden (zie artikel 33 lid 2 AVG).

Zodra een verwerkingsverantwoordelijke op de hoogte is gesteld door de verwerker over een datalek, wordt de verwerkingsverantwoordelijke volgens de Artikel 29 Werkgroep vervolgens geacht kennis te hebben genomen van een datalek (en gaat dus de termijn voor het melden daarvan van start). Aangezien de AVG geen uitdrukkelijk termijn hanteert waarbinnen een verwerker een verwerkingsverantwoordelijke op de hoogte dient te brengen van een datalek, adviseert de Artikel 29 Werkgroep dat de verwerker onverwijld de verwerkingsverantwoordelijke op de hoogte brengt van een datalek en eventuele nadere informatie over een datalek later aanlevert. Het is aan te raden om daarover afspraken te maken in de verwerkerovereenkomst.