Per 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp). De meest besproken wijziging ziet op de invoering van de zogenaamde meldplicht bij datalekken. Maar voor de praktijk misschien nog wel veel belangrijker: de boetebevoegdheden van het CBP worden aanzienlijk uitgebreid.
Privacywetgeving wordt steeds belangrijker
Privacybescherming wordt in het dagelijks (bedrijfs)leven steeds belangrijker. De privacywetgeving beweegt daar – langzaam maar zeker – in mee. Wordt het College bescherming persoonsgegevens (CBP) nu vaak nog aangeduid als een ‘tandeloze tijger’, vanaf 1 januari 2016 moet daar (het begin van een) verandering in komen. Vanaf 1 januari 2016 heet het CBP de ‘Autoriteit persoonsgegevens’ en worden haar tanden gescherpt.
Een Autoriteit met tanden: hoge boetes
Onder de huidige Wbp heeft het CBP weinig boetebevoegdheid; dat gaat veranderen. Vanaf 1 januari kan de Autoriteit persoonsgegevens voor overtreding van vrijwel alle verplichtingen uit de Wbp boetes uitdelen. Bijvoorbeeld in geval van gegevensverwerking zonder legitiem doel, op onzorgvuldige wijze of zonder adequate beveiliging. Als een overtreding niet opzettelijk of door enstig verwijtbare nalatigheid is begaan, legt Autoriteit eerst een ‘bindende aanwijzing’ op voordat een boete kan worden opgelegd. De overtreder krijgt daarmee de gelegenheid om de overtreding weg te nemen, bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen. Het niet-naleven van een bindende aanwijzing kan direct worden bestraft met een boete die kan oplopen tot wel € 810.000,- of, indien dat geen passende bestraffing is, zelfs 10% van de jaaromzet. Wordt de Wbp echter opzettelijk overtreden, dan kan dit direct tot een boete leiden.
Wet meldplicht datalekken
De Wbp bepaalt (onder meer) dat persoonsgegevens door middel van passende technische en organisatorische maatregelen dienen te worden beveiligd. De gegevens moeten derhalve niet alleen op technische wijze worden beschermd tegen toegang door derden, maar een organisatie dient er bijvoorbeeld ook intern voor te zorgen dat de gegevens uitsluitend toegankelijk zijn voor die onderdelen van een bedrijf of concern die de gegevens nodig hebben voor de uitvoering van hun taken. Met de Wet meldplicht datalekken wordt een nieuw artikel 34a aan de Wbp toegevoegd. Dat bepaalt dat melding moet worden gemaakt van iedere inbreuk op de (technische of organisatorische) maatregelen ter beveiliging tegen verlies of onrechtmatige verwerking van persoonsgegevens. Bij een inbreuk kan worden gedacht aan een hack of een technisch falen, maar ook aan verlies of diefstal van een laptop waarop persoonsgegevens staan. Een ‘datalek’ kan dus in vele vormen voorkomen.
Wanneer moet ik melding maken?
De meldplicht geldt alleen als de inbreuk leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens (of een aanzienlijke kans daarop). Of daarvan sprake is, moet u zelf beoordelen, maar de Autoriteit geeft wel (op dit moment nog niet-definitieve) richtsnoeren. Van een meldplicht zal eerder sprake zijn bij een gerichte hack – omdat de hacker vermoedelijk doelbewust gegevens heeft buitgemaakt – dan bij het laten liggen van een USB-stick in de trein, in welk geval het heel goed mogelijk is dat de gegevens nooit door een derde worden bekeken. Zijn de gelekte gegevens evenwel van gevoelige aard, dan zal dat vrijwel altijd aanleiding zijn om te melden.
Melden aan de Autoriteit en aan de betrokkene
De melding dient te worden gedaan aan de Autoriteit persoonsgegevens. Daarbij dient niet alleen te worden gemeld om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die heeft, maar ook welke maatregelen zijn en/of worden genomen om de gevolgen te verhelpen. Indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon waar de gegevens betrekking op hebben, dan moet ook de betrokkene in kennis worden gesteld van het lek. Indien gelekte gegevens (afdoende) versleuteld zijn, hoeft geen melding te worden gemaakt aan de betrokkene, maar wel aan de Autoriteit.
Uitbesteding van gegevensverwerking
Zowel de verplichting om te zorgen voor een gedegen beveiliging van de persoonsgegevens als de verplichting om het te melden als dat is misgegaan, rust op de verantwoordelijke in de zin van de Wbp. Dat is de entiteit die (formeel-juridisch) beslist welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Heeft u de gegevensverwerking uitbesteed aan een ander (bijvoorbeeld ICT-)bedrijf, dan is dat de bewerker. Het zal veelal de bewerker zijn die in de praktijk voor de beveiling zorgt en die een datalek feitelijk ontdekt. Wees u er echter van bewust dat bij een gebrekkige beveiliging het de verantwoordelijke is die het boeterisico loopt. Het is daarom van groot belang dat u in de bewerkersovereenkomst goede afspraken maakt over de beveiliging en het melden van een datalek.
Europese Privacyverordening
Op dit moment is ook een Europese Privacyverordening in de maak. In juni 2015 is de Raad van Ministers tot een akkoord gekomen over het huidige ontwerp. Het woord is nu aan het Europees Parlement; de verwachting is dat de inhoud in 2016 definitief zal worden. Het huidige ontwerp van de Verordening omvat eveneens een meldplicht bij datalekken en vergaande boetebevoegdheden voor de toezichthouder(s), maar kent daarnaast nog meerdere andere uitbreidingen ten opzichte van de huidige Wbp. Anders dan in eerdere ontwerpen is evenwel niet voorzien in een algemene verplichting voor ondernemingen tot het aanstellen van een privacy officer. Wel geeft de verordening uitgebreide richtsnoeren voor de positie, taken en verantwoordelijkheden van een dergelijke functionaris voor gegevensbescherming en laat ze ruimte voor nationale wetgeving om de aanstelling ervan wel te verplichten. Bij inwerkingtreding zal de verordening de Wbp vervangen.
Privacycheck: is uw bedrijf voorbereid?
De inwerkingtreding van de besproken wetswijzigingen kan voor uw bedrijf aanleiding zijn om te beoordelen of het (nog) voldoet aan de privacyregels. Welke persoonsgegevens verwerkt u en met welk doel? W
elke – technische en organisatorische – maatregelen neemt u ter bescherming van die gegevens? En wat is het protocol indien er onverhoopt een inbreuk op die beveiligingsmaatregelen plaatsvindt? Heeft u vragen over privacy compliance, dan kunt u altijd vrijblijvend contact opnemen met Erik Jan Bijleveld, sectiehoofd Ondernemingsrecht te Utrecht.
Dit artikel is geschreven door onze sectie ondernemingsrecht van Van Diepen van der Kroef Advocaten te Utrecht. Voor vragen of opmerkingen kunt u ons bereiken op telefoonnummer 030- 236 4600.
