Meldplicht datalekken in de GDPR
Ook bij de Europese Privacyverordening blijft de Autoriteit Persoonsgegevens in Nederland de toezichthoudende autoriteit. De bewerker heet in de Privacyverordening voortaan verwerker en met verwerkingsverantwoordelijke wordt de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens bedoeld. De verwerkingsverantwoordelijke moet volgens artikel 33 van de Verordening een inbreuk, die in verband met persoonsgegevens heeft plaatsgevonden, uiterlijk 72 uur nadat hij er kennis van heeft genomen, melden aan de toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Vertraging
Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, moet deze vertraging gemotiveerd worden. De verwerker (voorheen bewerker) informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. Bij de hierboven genoemde melding moet ten minste het volgende omschrijven of mededelen:
- de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
- Als het niet mogelijk is om alle informatie gelijktijdig te verstrekken, mag de informatie in stappen worden verwerkt, indien er geen sprake is van onredelijke vertraging. De verwerkingsverantwoordelijke moet alle inbreuken in verband met persoonsgegevens documenteren, inclusief de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de genomen maatregelen, zodat de toezichthoudende autoriteit de bovenstaande verplichtingen kan controleren.
Meldplicht aan betrokkene
Met betrekking tot de meldplicht aan betrokkenen, bepaalt artikel 34 van de Verordening, dat wanneer er sprake is van een inbreuk die in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, dat dit onverwijld door verwerkingsverantwoordelijke aan betrokkene gemeld moet worden.
De melding aan betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 33, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.
De melding aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Mocht de verwerkingsverantwoordelijke de inbreuk nog niet hebben gemeld aan betrokkene, kan de toezichthoudende autoriteit alsnog beslissen of er wel of niet sprake is van deze meldplicht aan betrokkene.
Boetes
De boetes met betrekking tot de meldplicht datalekken in de huidige Wet bescherming persoonsgegevens kunnen oplopen tot € 820.000. De boetes in de Verordening met betrekking tot de meldplicht datalekken kunnen echter oplopen tot € 20 miljoen of 4% van de totale omzet (afhankelijk welke hoger uitvalt).
Dit artikel is geschreven door De IT-jurist.