Op 15 september jl. organiseerde het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) een Ronde Tafel bijeenkomst over de Wet meldplicht datalekken. Tijdens deze bijeenkomst werd de wet, die sinds 1 januari 2016 van kracht is, onder de loep genomen en werden ervaringen tussen Functionarissen gegevensbescherming en de Autoriteit Persoonsgegevens (AP) uitgewisseld.
Vanaf de inwerkingtreding van de meldplicht tot aan de dag van de Ronde Tafel bijeenkomst, zijn er 3650 datalekken gemeld bij de AP. Dit zijn minder meldingen dan de wetgever vooraf had verwacht. Een eerste beoordeling heeft laten zien dat de meeste meldingen zijn gedaan vanuit:
Het merendeel van de meldingen aan de AP betrof meldingen waarbij gevoelige persoonsgegevens betrokken waren.
Bij de gemelde datalekken ging het veelal om:
De AP heeft daarnaast meegegeven dat een crypto- en ransomware aanval, waar persoonsgegevens aan ten prooi zijn gevallen, ook als datalek aangemerkt kan worden. Wanneer persoonsgegevens versleuteld zijn en de verantwoordelijke daardoor geen toegang meer heeft tot de gegevens, valt onder de meldplicht. Ook een datalek dat intern bij een organisatie heeft plaatsgevonden valt onder de reikwijdte van de meldplicht.
De meldingen die binnenkomen bij de AP worden automatisch gesorteerd op mate van belangrijkheid – groen, oranje en rood – en vervolgens dagelijks beoordeeld door een zogenoemd intaketeam. De AP let er hierbij voornamelijk op wat de verantwoordelijke heeft gedaan om het lek te stoppen, om schade te voorkomen, om nieuwe lekken te voorkomen en of de betrokkenen voldoende zijn geïnformeerd. Bij het achterwege laten van de melding aan betrokkenen kijkt de AP of zij alsnog geïnformeerd dienen te worden. Van organisaties wordt verwacht dat zij naar aanleiding van een datalek zoeken naar oplossingen om dit in de toekomst te voorkomen. Als er signalen bij de AP binnen komen dat een datalek niet is gemeld, zal de AP zelf contact opnemen met de verantwoordelijke.
Wat betreft de melding aan betrokkenen heeft de AP nog meegegeven dat het feit dat de groep betrokkenen onvoldoende bepaald of onbekend is, geen argument kan zijn om melding aan de betrokkenen uit te blijven stellen of achterwege te laten. Wanneer deze groep onvoldoende bepaald of onbekend is, kan er een algemeen bericht worden verspreid. Let wel: het is van belang dat het bericht middels een medium wordt verspreid dat daadwerkelijk door de doelgroep zal worden gelezen.
De AP heeft nog geen gebruik gemaakt van zijn ruime boetebevoegdheid. De AP ziet een boete als ultimum remedium (‘laatste middel’) en gaf aan hier zeer voorzichtig mee om te zullen gaan.
Tot slot heeft de AP nog meegegeven dat zij van de gedane meldingen een zogenoemd ‘lessons learned’ document zullen publiceren.
Zoals blijkt uit het voorgaande, was het een interessante middag waar meer duidelijk is geworden over het succes en de werking van de nieuwe meldplicht. Wilt u meer weten over de Wet meldplicht datalekken of heeft u advies nodig over een datalek, neem dan gerust contact op met een van onze consultants.