172 gemeenten maakten melding van datalekken

17 oktober 2016

Vanaf 1 januari 2016 zijn er door (decentrale) overheden verschillende meldingen van een datalek bij de Autoriteit Persoonsgegevens (AP) gedaan. De wet meldplicht datalekken is, vooruitlopend op de nieuwe Europese regels omtrent gegevensbescherming, in de Wet Bescherming Persoonsgegevens (Wbp) opgenomen. De AP heeft tientallen onderzoeken ingesteld naar de datalekken. Het zou kunnen dat de AP ook boetes gaat uitdelen.

Wet meldplicht datalekken

Nederland heeft momenteel al een meldplicht datalekken opgenomen in de Wet bescherming persoonsgegevens (Wbp). Vanaf 1 januari 2016 dienen overheden en bedrijven die persoonsgegevens verwerken ernstige datalekken te melden aan het AP. Wanneer (decentrale) overheden dit niet doen, kan een bestuurlijke boete volgen.

Wat is een datalek?

Een datalek kan ontstaan door beveiligingsproblemen: een kwijtgeraakte usb-stick, een gestolen laptop, een inbraak in een databestand, een brand in een datacentrum, etc. Hierdoor kunnen persoonsgegevens in de handen van derden vallen die hier eigenlijk geen toegang tot mogen hebben. Ook wanneer een datalek slechts betrekking heeft op de gegevens van één persoon, moet dit gemeld worden.

Meldingen Autoriteit Persoonsgegevens

Na ingang van de meldplicht hebben 172 van de 390 gemeenten melding gedaan bij de Autoriteit Persoonsgegevens. De ministeries hebben al meer dan 40 meldingen gedaan. Wat voor een meldingen het zijn is niet bekend, het kan gaan om een verloren usb-stick maar ook om een gehackte database.

Verhouding met AVG

Per 25 mei 2018 moeten (decentrale) overheden zich houden aan de regels in de Algemene verordening gegevensbescherming. De Wbp, en dus de wet meldplicht datalekken zal dan komen te vervallen, Ook in de AVG is een meldplicht inbreuk op persoonsgegevens opgenomen in artikel 33 en 34. Wanneer er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, moet dit gemeld worden aan de toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens (AP). Daarnaast is er een kans dat dit gemeld moet worden aan de personen wiens persoonsgegevens het betreffen. U kunt hier meer informatie over deze meldplicht vinden.

Boete

Wanneer er een datalek heeft plaatsgevonden en de voorwaarden in artikel 34a Wbp worden overtreden, kan de AP momenteel al een boete opleggen van maximaal € 820.000. Per 25 mei 2018, wanneer de AVG toegepast moet worden, kan deze boete oplopen tot maximaal € 10.000.000.

Door:

Pierre Kas en Femke Salverda, Europa decentraal

Bronnen:

Dagelijks een datalek bij gemeenten, Binnenlands Bestuur
Bijna helft van Nederlandse gemeenten meldde dit jaar datalek, Nu.nl

Meer informatie:

De Europese Algemene verordening gegevensbescherming & de Meldplicht Datalekken, VNG
Meldplicht datalekken, Autoriteit Persoonsgegevens