Praktijkgebieden: Privacy
U weet het. Vanaf 1 januari 2016 kan data lekken veel geld gaan kosten. Dan treedt de wijziging van de Wet bescherming persoonsgegevens (Wbp) als gevolg van de Wet meldplicht datalekken in werking. Als er gelekt is en niet is gemeld kan het College Bescherming Persoonsgegevens (CBP) boetes gaan opleggen, die kunnen oplopen tot 800.000 euro per overtreding. Wanneer gebeurt dat? Hoe kunt u het voorkomen? Waarmee moet u nog meer rekening houden? In een countdown naar 1 januari aanstaande gaan wij het u in een serie artikelen uitleggen. Vandaag aflevering 1.
Afgelopen week heeft het CBP de langverwachte richtsnoeren gepubliceerd die gebruikers moeten helpen bij de afweging of een zogenaamd datalek al dan niet gemeld moet worden. Het gaat om een eerste versie van de richtsnoeren, een zogeheten consultatieversie. Tot 20 oktober a.s. kunnen belanghebbenden commentaar leveren op deze richtsnoeren. Daarna zal, als het goed is nog vóór 1 januari, de definitieve versie verschijnen.
De richtsnoeren zijn een handig hulpmiddel voor de praktijk, omdat de wet weinig handvatten biedt. Deze vermeldt slechts dat een melding bij het CBP verplicht is in geval van: “een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens“.
Het genoemde artikel 13 verplicht de verantwoordelijke (degene die vaststelt hoe en met welk doel de persoonsgegevens worden verzameld, opgeslagen, etc.) om passende maatregelen te treffen die de persoonsgegevens beveiligen tegen verlies of onrechtmatige verwerking. In de richtsnoeren worden deze termen nader uitgewerkt aan de hand van schema's en uitgebreide toelichtingen daarop. In deze eerste bijdrage aan de serie geven wij een beknopt overzicht van de inhoud daarvan. Vervolgens zullen wij ze meer in detail doorlopen.
Het CBP begint in de richtsnoeren bij het begin, dus bij het definiëren van een “inbreuk op de beveiliging, bedoeld in artikel 13″ – kort gezegd een datalek. Om te beoordelen of er in een gegeven situatie sprake is van een datalek, dient de verantwoordelijke eerst na te gaan of de verwerkte persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Als dat het geval is, dient hij te controleren of het redelijkerwijs denkbaar is dat er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Zijn beide vragen met “ja” beantwoord, dan komt de vraag aan de orde of het lek ook daadwerkelijk gemeld moet worden.
Een datalek moet uitsluitend gemeld worden indien er op grond van de Telecommunicatiewet een meldplicht bestaat, of wanneer er sprake is van ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daarop. De meldplicht uit de Telecommunicatiewet geldt enkel voor aanbieders van openbare elektronische communicatiediensten, zoals internetproviders en telecomaanbieders. Dit soort bedrijven valt ook onder de Wbp en moet dus rekening houden met twee meldplichten. Een klein gelukje: beide typen meldingen dienen te worden gedaan bij het CBP.
Soms is een melding bij alleen het CBP niet voldoende, en moet het datalek ook gemeld worden aan de betrokkene – de persoon van wie de persoonsgegevens zijn gelekt. Dit aspect van de wet beslaat het grootste deel van de afweging en daarmee van de richtsnoeren. Hierbij komt onder meer de vraag aan de orde of er bepaalde technische maatregelen (denk aan versleuteling) zijn genomen die voldoende bescherming bieden om melding achterwege te laten, en of het datalek waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene zal hebben.
Tot slot kent de wet een verplichting om een overzicht bij te houden van alle datalekken die onder de meldplicht vallen. Alle feiten en gegevens omtrent de aard van de inbreuk moeten in dat overzicht worden opgeslagen. De richtsnoeren geven meer duidelijkheid over de duur van de bewaarplicht: in ieder geval tot een jaar na melding, maar in veel gevallen langer – tot drie jaar.
In het volgende deel van deze serie zullen we het begrip datalek nader toelichten. Vervolgens zullen de meldplicht bij het CBP en de meldplicht aan de betrokkene aan de orde komen, en tot slot de bewaarplicht. Uiteraard zullen wij ook de wijze van melding niet onvermeld laten, alsmede – niet onbelangrijk – de termijn waarbinnen gemeld moet worden. Wanneer de definitieve versie van de richtsnoeren te zijner tijd blijkt af te wijken van deze consultatieversie (wat overigens niet de verwachting is), komen er updates.
Andere afleveringen van deze serie:Afl. 2: Richtsnoeren CBP: wat is een datalek?Afl. 3: Meldplicht CBP: bij welke datalekken, wanneer, hoe?Afl. 4: Datalekken melden aan betrokkenen – wanneer?Afl. 5: Richtsnoeren meldplicht datalekken – na de meldingAfl. 6: Meldplicht datalekken: de boetes van het CBP (1)Afl. 7: De boetes van het CBP (2): wanneer krijgt u een boete?Afl. 8: “Maar waar staat dat dan?” – de wijzigingen van de Wbp in beeldAfl. 9: Bewerkers en de Wet Meldplicht DatalekkenAf.10: Wet meldplicht datalekken: De Checklist
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.