Praktijkgebieden: Privacy
In onze serie over de (richtsnoeren) meldplicht datalekken gaven wij de afgelopen keer antwoord op de vraag wat een datalek nu eigenlijk is. Vandaag behandelen we de melding aan het CBP. In welke gevallen moet een datalek ook daadwerkelijk gemeld worden?
Uit deze vraag volgt al dat niet elk datalek aan het CBP hoeft te worden gemeld. Er bestaan grofweg twee situaties waarin de melding verplicht is. In de eerste plaats moet een geconstateerd lek gemeld worden als er een meldplicht bestaat op grond van de Telecommunicatiewet. Die verplichting geldt alleen voor aanbieders van openbare elektronische communicatiediensten, zoals internetproviders en telecomaanbieders. Zij hebben al langer te maken met een meldplicht, en deze situatie zullen we daarom hier niet uitgebreid bespreken. Wel merken we op dat het uitgangspunt is dat een datalek slechts éénmaal gemeld hoeft te worden. Valt een datalek, bijvoorbeeld het verlies van klantgegevens, onder de Telecommunicatiewet én onder de Wbp, dan is melding op grond van de eerste wet voldoende. Slechts in uitzonderingsgevallen, bijvoorbeeld als ten gevolge van een incident verschillende soorten gegevens gelekt worden kan het voorkomen dat twee meldingen moeten worden gedaan.
De tweede “meldplichtige” situatie betreft datalekken die leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daarop. Om te beoordelen of daarvan sprake is moet worden bekeken: a) of er persoonsgegevens van gevoelige aard zijn gelekt, en b) wat de aard en omvang van de inbreuk is.
Onder persoonsgegevens van gevoelige aard vallen in de eerste plaats de al langer in de wet opgenomen categorie bijzondere persoonsgegevens (zoals gegevens over iemands ras of seksuele voorkeur). Daar blijft het echter niet toe beperkt. Zo worden onder andere ook financiële gegevens, inloggegevens en data die kunnen worden gebruikt voor identiteitsfraude tot de gevoelige persoonsgegevens gerekend. Daarnaast worden ook gegevens die kunnen leiden tot stigmatisering of uitsluiting van de persoon waarop de gegevens betrekking hebben, als gevoelig beschouwd. Het onlangs gelekte klantenbestand van Ashley Madison (de Amerikaanse variant van Second Love) zal dus zonder meer als gevoelig worden aangemerkt.
Als er geen persoonsgegevens van gevoelige aard zijn gelekt, zal de aard en omvang van de inbreuk nog bekeken moeten worden. Als de omvang van de inbreuk groot is (bijvoorbeeld omdat er data die betrekking hebben op een grote groep mensen zijn gelekt, of juist veel gegevens betreffende een enkele persoon) zal de impact van het datalek groot zijn. De “aard” van de inbreuk is een wat minder duidelijk beoordelingscriterium en overlapt natuurlijk grotendeels met de vraag of er gevoelige gegevens zijn gelekt. Maar de richtsnoeren geven ook één goed voorbeeld van een datalek dat puur vanwege zijn aard gemeld moet worden. Het betreft de situatie waarin onbevoegden toegang krijgen tot een bestand met mailadressen van een groep ouderen. Aangezien veel ouderen minder behendig zijn met digitale communicatie, is er een groot risico dat zij als gevolg van de inbreuk ten prooi vallen aan phishing. Dat maakt dit tot een lek dat gemeld moet worden, ook al zijn de e-mailadressen op zichzelf nog niet “gevoelig” en is de omvang van het lek gering.
Zijn er gegevens van gevoelige aard gelekt en/of leveren aard of omvang van de inbreuk ernstig gevaar op voor de bescherming van persoonsgegevens, dan moet het lek worden gemeld bij het CBP. Dat kan vanaf 1 januari a.s. met behulp van een formulier op de website van het CBP. Wacht niet te lang met melden: de melding moet zo snel mogelijk gedaan worden, maar uiterlijk op de tweede werkdag na ontdekking van het lek. De tussenliggende periode kunt u besteden aan onderzoek, om zo een onnodige melding te voorkomen. Bekijk dan meteen of een melding aan de betrokkene(n) nodig is. Meer daarover in de volgende aflevering van deze serie.
Overzicht van de andere afleveringen van deze serie
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.