icon

Meldplicht CBP: bij welke datalekken, wanneer, hoe?

In onze serie over de (richtsnoeren) meldplicht datalekken gaven wij de afgelopen keer antwoord op de vraag wat een datalek nu eigenlijk is. Vandaag behandelen we de melding aan het CBP. In welke gevallen moet een datalek ook daadwerkelijk gemeld worden?

Uit deze vraag volgt al dat niet elk datalek aan het CBP hoeft te worden gemeld. Er bestaan grofweg twee situaties waarin de melding verplicht is. In de eerste plaats moet een geconstateerd lek gemeld worden als er een meldplicht bestaat op grond van de Telecommunicatiewet. Die verplichting geldt alleen voor aanbieders van openbare elektronische communicatiediensten, zoals internetproviders en telecomaanbieders. Zij hebben al langer te maken met een meldplicht, en deze situatie zullen we daarom hier niet uitgebreid bespreken. Wel merken we op dat het uitgangspunt is dat een datalek slechts éénmaal gemeld hoeft te worden. Valt een datalek, bijvoorbeeld het verlies van klantgegevens, onder de Telecommunicatiewet én onder de Wbp, dan is melding op grond van de eerste wet voldoende. Slechts in uitzonderingsgevallen, bijvoorbeeld als ten gevolge van een incident verschillende soorten gegevens gelekt worden kan het voorkomen dat twee meldingen moeten worden gedaan.

De tweede “meldplichtige” situatie betreft datalekken die leiden tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of een aanzienlijke kans daarop. Om te beoordelen of daarvan sprake is moet worden bekeken: a) of er persoonsgegevens van gevoelige aard zijn gelekt, en b) wat de aard en omvang van de inbreuk is.

Onder persoonsgegevens van gevoelige aard vallen in de eerste plaats de al langer in de wet opgenomen categorie bijzondere persoonsgegevens (zoals gegevens over iemands ras of seksuele voorkeur). Daar blijft het echter niet toe beperkt. Zo worden onder andere ook financiële gegevens, inloggegevens en data die kunnen worden gebruikt voor identiteitsfraude tot de gevoelige persoonsgegevens gerekend. Daarnaast worden ook gegevens die kunnen leiden tot stigmatisering of uitsluiting van de persoon waarop de gegevens betrekking hebben, als gevoelig beschouwd. Het onlangs gelekte klantenbestand van Ashley Madison (de Amerikaanse variant van Second Love) zal dus zonder meer als gevoelig worden aangemerkt.

Als er geen persoonsgegevens van gevoelige aard zijn gelekt, zal de aard en omvang van de inbreuk nog bekeken moeten worden. Als de omvang van de inbreuk groot is (bijvoorbeeld omdat er data die betrekking hebben op een grote groep mensen zijn gelekt, of juist veel gegevens betreffende een enkele persoon) zal de impact van het datalek groot zijn. De “aard” van de inbreuk is een wat minder duidelijk beoordelingscriterium en overlapt natuurlijk grotendeels met de vraag of er gevoelige gegevens zijn gelekt. Maar de richtsnoeren geven ook één goed voorbeeld van een datalek dat puur vanwege zijn aard gemeld moet worden. Het betreft de situatie waarin onbevoegden toegang krijgen tot een bestand met mailadressen van een groep ouderen. Aangezien veel ouderen minder behendig zijn met digitale communicatie, is er een groot risico dat zij als gevolg van de inbreuk ten prooi vallen aan phishing. Dat maakt dit tot een lek dat gemeld moet worden, ook al zijn de e-mailadressen op zichzelf nog niet “gevoelig” en is de omvang van het lek gering.

Zijn er gegevens van gevoelige aard gelekt en/of leveren aard of omvang van de inbreuk ernstig gevaar op voor de bescherming van persoonsgegevens, dan moet het lek worden gemeld bij het CBP. Dat kan vanaf 1 januari a.s. met behulp van een formulier op de website van het CBP. Wacht niet te lang met melden: de melding moet zo snel mogelijk gedaan worden, maar uiterlijk op de tweede werkdag na ontdekking van het lek. De tussenliggende periode kunt u besteden aan onderzoek, om zo een onnodige melding te voorkomen. Bekijk dan meteen of een melding aan de betrokkene(n) nodig is. Meer daarover in de volgende aflevering van deze serie.

Overzicht van de andere afleveringen van deze serie

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
Meldplicht CBP: bij welke datalekken, wanneer, hoe?

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief