Nog 2 maanden en dan is het zo ver, de Wet bescherming persoonsgegevens (Wbp) wordt onder andere uitgebreid met een meldplicht datalekken en hogere boetes. Bent u daar klaar voor, of denkt u, het zal zo’n vaart niet lopen? Inmiddels heeft het College Bescherming Persoonsgegevens (CBP) een concept Richtsnoeren Meldplicht Datalekken voor openbare review op 21 september uitgebracht. Daarnaast zijn er nu ook concept boetebeleidsregels voor openbare review op 5 oktober uitgebracht op. Er is nu, althans in concept, al wat meer duidelijkheid over hoe het CBP met deze wetswijziging wil omgaan.

Volgens het CBP is een datalek: wanneer er sprake is van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Het boete document is vrij duidelijk over de hoogtes van de boetes in relatie tot de verschillende overtredingen van de Wbp. Niet alleen het lekken van persoonsgegevens levert een boete op, er zijn ongeveer 50 gedragingen die een boete kunnen opleveren. Bijvoorbeeld onzorgvuldige verwerking, het overschrijden van bewaartermijnen, het vastleggen van te veel persoonsgegevens of het onterecht vastleggen/verwerken van persoonsgegevens. Ook export van gegevens buiten de EER staat op de lijst. Juist nu Safe Harbor is geschrapt kun je je gaan afvragen hoe het Cbp hier mee om zal gaan.

Extra aandacht is gewenst als persoonsgegevens in de Cloud worden verwerkt, bijvoorbeeld in een SaaS omgeving, waar staan dan de persoonsgegevens en welke afspraken maakt u met de bewerker om tijdig melding te krijgen van een datalek?

Ik denk dat binnen iedere organisatie wel iets is wat een boete kan opleveren op basis van de gewijzigde Wbp. Het doen van Privacy Impact Assessments (PIA) en het uitvoeren van risicoanalyses is nog lang geen gemeengoed. Het is dus best waarschijnlijk dat er onterecht persoonsgegevens worden verwerkt, te veel persoonsgegevens worden verwerkt of niet adequaat beschermde persoonsgegevens binnen de organisatie zullen zijn. Naast het onjuist verwerken van persoonsgegevens is het niet de vraag of er persoonsgegevens gelekt zullen worden maar wanneer dat zal gebeuren.

Volgens de richtsnoeren heeft een organisatie 2 werkdagen de tijd om een melding te doen als dat nodig is. Deze 2 werkdagen kunnen alleen worden gehaald als een datalek als zodanig herkend wordt, er een goed werkend incidentmanagement proces is en daarnaast er een goed samengesteld en geoefend  onderzoeksteam is. Er kan te veel tijd verloren gaan als men hier van te voren niet goed over nagedacht heeft.

Gelukkig hebben veel organisaties al een incidentmanagement proces als onderdeel van de reguliere ICT beheer processen. Het is daarnaast zaak om van te voren uit te werken welk team het datalek moet onderzoeken, welke verantwoordelijkheden er zijn om de melding te doen en welke communicatie verder plaats moet vinden. Het kan geen kwaad om het onderzoeken van een datalek met persoonsgegevens van te voren te oefenen, de spelers leren hiervan en zijn beter voorbereid als zich een datalek voordoet.

Kortom, goed voorbereid zijn is het halve werk, succes na 1 januari!