Wet meldplicht datalekken

De nieuwe Wet Meldplicht Datalekken (2016) heeft de verplichting gecreëerd in de Wet Bescherming Persoonsgegevens om datalekken te melden aan de Autoriteit Persoonsgegevens (“AP”). Een datalek is een inbreuk op de bescherming van persoonsgegevens. Een veel gebruikt voorbeeld is de verloren USB-stick. Een datalek kan echter ook het verwijderen van persoonsgegevens inhouden wanneer er geen back-up aanwezig is.

Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens is een overheidsinstantie die toeziet op de naleving van de Wbp. De Autoriteit Persoonsgegevens kan op grond van de Wbp:

  • aanwijzingen geven;
  • onderzoek uitvoeren;
  • boetes opleggen.

De verplichting om een melding te doen van een datalek aan de AP is opgenomen in art. 34a lid 1 Wbp:

De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

 

Naast de melding aan de Autoriteit Persoonsgegevens, zal bij een datalek in specifieke gevallen ook de betrokkenen moeten worden geïnformeerd. De betrokkenen zijn de (natuurlijke) personen waar de persoonsgegevens betrekking op hebben.

De betrokkene moeten worden geïnformeerd wanneer (art. 34a lid 2 Wbp):

De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

 

Denk daarbij aan het lekken van het medisch dossier van een patiënt. De gegevens in een medisch dossier worden overigens gezien als “bijzondere persoonsgegevens”. Onder bijzondere persoonsgegevens vallen in elk geval (art. 16 Wbp):

[…] iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden […] strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

 

De definitie bijzondere persoonsgegevens wordt met de inwerkingtreding van de AVG uitgebreid. Hierover meer onder wijzigingen met de AVG.

Naast de genoemde meldplicht datalekken bevat de Wbp meer. Niet onbelangrijk zijn onder andere de grondslagen, maatregelen ter beveiliging van persoonsgegevens en de Functionaris Gegevensbescherming.