Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

Meldplicht datalekken en uitbreiding boetebevoegdheid Cbp

Kim Lucassen
Joanne Zaaijer
Aan de toegangsbeveiliging van patiëntgegevens schort nog het nodige en volgens recent onderzoek zijn zorginstellingen steeds vaker het doelwit van hackers. Vanaf 1 januari 2016 moeten beveiligingslekken worden gemeld.
Kim Lucassen
Kim Lucassen

Op het gebied van bescherming van persoonsgegevens in de zorg is nog een slag te maken. Het College bescherming persoonsgegevens (CBP) constateerde in het jaarverslag 2013 dat aan de toegangsbeveiliging van patiëntgegevens nog het nodige schort en volgens een recent onderzoek van BNR zijn zorginstellingen steeds vaker het doelwit van hackers

Op 1 januari 2016 treedt de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp in werking. De wet introduceert een meldplicht voor datalekken in de Wet bescherming persoonsgegevens (Wbp). De introductie van deze meldplicht in de Wbp loopt vooruit op de Europese Algemene Verordening Gegevensbescherming waarin naar verwachting met ingang van 2018 een vergelijkbare verplichting zal worden opgenomen.

Daarnaast zullen met ingang van 1 januari 2016 fors hogere boetes gelden voor overtreding van diverse bepalingen van de Wbp. Ook het aantal bepalingen uit de Wbp dat bestraft kan worden met een boete, neemt sterk toe.

Wat en wanneer melden?

De meldplicht hangt nauw samen met de verplichting van artikel 13 Wbp om voldoende organisatorische en technische beveiligingsmaatregelen te nemen. Op het moment dat een inbreuk op de vereiste beveiligingsmaatregelen wordt geconstateerd die potentieel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, dan moet de verantwoordelijke (degene die het doel en de middelen van een gegevensverwerking bepaalt) onverwijld het College bescherming persoonsgegevens (vanaf 1 januari 2016 ‘Autoriteit persoonsgegevens’) inlichten. Een dergelijke inbreuk kan allerlei vormen aannemen: het kan gaan om iemand die zich feitelijk toegang heeft verschaft tot een gebouw en mogelijk persoonsgegevens heeft ingezien of meegenomen, tot het meer aansprekende voorbeeld van een hacker. Maar ook het verlies van een telefoon, laptop of USB-stick kan een inbreuk op de beveiliging zijn.

Als die inbreuk op de beveiliging daarnaast ook nog waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene (degene wiens gegevens het betreft), zal ook deze betrokkene onverwijld moeten worden ingelicht. De afweging of daarvan sprake is, is in beginsel aan de verantwoordelijke zelf, maar als deze besluit dat melding aan de betrokkene niet nodig is, kan de Autoriteit de verantwoordelijke vervolgens alsnog verplichten om de betrokkenen in te lichten.

De verplichting om de betrokkene te informeren geldt niet indien de verantwoordelijke technische beveiligingsmaatregelen heeft genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. In geval van verlies van een USB-stick die is beveiligd door encryptie bijvoorbeeld, hoeft de verantwoordelijke de personen wiens gegevens op die USB-stick staan, daarvan niet op de hoogte te stellen. Daarnaast zijn financiële ondernemingen als bedoeld in de Wet op het financieel toezicht uitgezonderd van de meldingsplicht aan de betrokkene: financiële ondernemingen hoeven alleen een melding aan de Autoriteit te doen.

Wie?

De meldplicht geldt zowel voor organisaties in de private als in de publieke sector die als verantwoordelijke in de zin van de Wbp kwalificeren, zoals ziekenhuizen, zorginstellingen en (zorg)verzekeraars).

Hoe melden?

De melding aan de Autoriteit dient in ieder geval de volgende gegevens te bevatten:

  • aard van de inbreuk;
  • waar meer informatie over de inbreuk kan worden verkregen;
  • aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  • beschrijving van de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Voor de kennisgeving aan de betrokkene geldt dat deze op zodanige wijze moet worden gedaan, dat een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. De verantwoordelijke is daarnaast verplicht om een overzicht bij te houden van alle inbreuken.

Sancties

De maximale bestuurlijke boete voor overtreding van de Wbp bedraagt op dit moment nog 4.500 euro en het CBP heeft maar zeer beperkt de mogelijkheid een bestuurlijke boete op te leggen (alleen met betrekking tot de meldingsplicht). Met ingang van 1 januari 2016 neemt deze bevoegdheid exponentieel toe.  Vanaf dat moment zal de Autoriteit ook bevoegd zijn om een bestuurlijke boete op te leggen voor overtreding van een groot aantal bepalingen van de Wbp. Ook de hoogte van de boete is fors gestegen: zo kan niet naleving van de meldplicht datalekken resulteren in een boete van maar liefst 820.000 euro of 10 procent van de jaaromzet van een onderneming per overtreding. Het is in de regel wel vereist dat de Autoriteit eerst een bindende aanwijzing geeft.

Wat betekent dit voor u?

Bij constatering van een inbreuk moet uw organisatie daarvan onverwijld melding doen. Aangezien onder ‘onverwijld’ zo snel als redelijkerwijs mogelijk moet worden verstaan, is het op het moment dat een datalek wordt geconstateerd, in ieder geval te laat om nog een draaiboek te maken. Vanaf 1 januari 2016 zal iedere organisatie dus een plan van aanpak moeten hebben klaarliggen voor het geval zich onverhoopt een inbreuk op de beveiliging voordoet.


Kim Lucassen en Joanne Zaaijer, advocaten Zorgteam Loyens & Loeff N.V.

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.