Praktijkgebieden: Privacy
In onze serie over de (richtsnoeren) meldplicht datalekken hebben we, na een inleiding, inmiddels besproken wanneer sprake is van een datalek en wanneer een datalek moet worden gemeld aan het CBP. Vandaag de vraag: wanneer moet een datalek aan de betrokkene worden gemeld?
Alleen melding aan het CBP volstaat onder de nieuwe wet namelijk in veel gevallen niet en dat is maar goed ook. Een datalek kan immers tot gevolg hebben dat gevoelige informatie is gelekt en daar kunnen in bepaalde gevallen gevaarlijke dingen mee gebeuren. Denk aan identiteitsfraude, het openbaar maken van medische gegevens of het verdwijnen of “gegijzeld” worden van financiële informatie. Als de betrokkene wordt geïnformeerd kan deze maatregelen nemen (zoals het wijzigen van passwords en logins) en alerter reageren op eventueel misbruik.
Wanneer is melding aan de betrokkene nu precies aan de orde? Welnu: het moet allereerst om een datalek gaan dat óók al aan het CBP gemeld moest worden. Was dat al niet nodig, dan kan melding aan de betrokkene a fortiori achterwege blijven.
Vervolgens is voor het al dan niet moeten doen van de melding van belang óf, en zo ja in hoeverre, de persoonsgegevens beschermd waren met technische maatregelen. Waren ze dat op passende wijze, dan kan melding achterwege blijven (tenzij het CBP deze alsnog oplegt). Waren ze dat niet dan moet gekeken worden of het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene. Als dat het geval is moet in principe worden gemeld; anders kan melding achterwege blijven.
Hier worden een boel open normen gebruikt en het is dus maar goed dat de Richtsnoeren daar tegelijkertijd enige invulling aan geven. Allereerst die passende bescherming met technische maatregelen. Wanneer is daarvan sprake?
De Richtsnoeren noemen als vormen van technische bescherming versleuteling (inclusief hashing), remote wiping en pseudonimisering. Of ze passend (lees: voldoende) zijn zal concreet van geval tot geval moeten worden bekeken. Bij versleuteling (uitgezonderd hashing) is het uiteraard zaak dat de sleutel niet óók gelekt of gehackt is. En remote wiping, waarbij dus op afstand automatisch gegevens worden gewist of alsnog versleuteld, heeft uiteraard alleen effect als het gestolen of verloren apparaat nog in staat is het wipe-commando te ontvangen. De Richtsnoeren geven wel een tip voor versleuteling: zij verwijzen naar het rapport Algorithms key-size and parameters uit 2014 van ENISA, het EU-bureau voor netwerk- en informatie-beveiliging. De versleutelmethoden die daarin worden gekwalificeerd als geschikt voor “future use” zijn vooralsnog (de eerste 10 tot 50 jaar) voldoende.
Nota bene: er is nooit sprake van een passende bescherming als de gelekte persoonsgegevens unica zijn waarvan geen back-up is gemaakt. Dan staan de gegevens immers bloot aan vernietiging of aantasting (waaronder “gijzeling” met ransomware). Daar hoef je de data niet voor te kunnen lezen. Zelfs de best versleutelde maar niet geback-upte data kan dus in gijzeling worden genomen. Dus: geen back-up? Melden aan betrokkene!
Is er geen passende beveiliging toegepast dan moet worden gekeken of het lek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene. Dat zal altijd het geval zijn als gegevens van gevoelige aard zijn gelekt (zie voor een uitleg van dat begrip aflevering 3 uit deze serie). Voor het overige moet worden gekeken naar de omstandigheden van het geval. De Richtsnoeren bevatten op de bladzijden 34 t/m 36 tal van voorbeelden om wat houvast te geven.
Dat houvast is overigens niet nodig als er een financiële zorgplicht in het geding is. Dan moet er altijd aan de betrokkene worden gemeld. Dit zal zich bijvoorbeeld voordoen als er een lek plaatsvindt bij een bank of financieel adviseur.
Melding zal bij voorkeur (indien mogelijk) moeten plaatsvinden op individuele basis, met behulp van de contactgegevens die de verantwoordelijke heeft. Een e-mail werkt het makkelijkst en het snelst. In de melding moet in algemene zin worden uitgelegd wat is er gebeurd en wat de betrokkene zelf kan doen om de gevolgen te beperken (bijv. wachtwoord wijzigen). Ook moet een contactadres worden opgenomen waar men terecht kan met vragen. Voor uitgebreidere informatie mag worden verwezen naar een website.
Overzicht van de andere afleveringen van deze serie
Door het leggen van conservatoir (derden) beslag worden vermogensbestanddelen van een wederpartij per direct bevroren. Er kan geen overdracht meer plaatsvinden en in bepaalde gevallen kunnen vermogensbestanddelen zelfs elders in bewaring worden gegeven. Deze actie kan druk zetten op de wederpartij waardoor een snelle oplossing kan worden bereikt.
Beslaglegging moet wel altijd worden gevolgd door een bodem of arbitrage procedure, tenzij eerder een buitengerechtelijke oplossing wordt bereikt.
Onterecht leggen van beslag moet worden voorkomen; het kan leiden tot een schadevergoedingsactie.
Wij onderzoeken graag of dit rechtsmiddel in uw situatie tot een spoedige oplossing kan leiden.
Snel een uitspraak nodig van de rechter over een bepaalde urgente situatie? In dat geval is een kort geding een oplossing voor uw situatie. De rechter geeft een voorlopig oordeel waaraan partijen zich al dan niet op straffe van een dwangsom dienen te houden.
Wij denken graag mee over de voor uw situatie passende juridische oplossing.
Dit is in het civiele en bestuurlijke recht de procedure die (al dan niet na hoger beroep) leidt tot een definitieve beslechting van het geschil. Anders dan in een kort geding ligt de nadruk hier veel meer op een schriftelijke uitwisseling van processtukken.
Wij onderzoeken graag of dit de aangewezen procedure is voor uw geschil.
Een partij die zich beroept op de rechtsgevolgen van de door haar gestelde feiten of rechten moet deze bewijzen. Voorafgaand aan iedere gewenste procedure moet derhalve de bewijspositie worden bekeken.
Soms is het bewijs nog niet voldoende in handen van de cliënt. In dat geval is nadere actie gewenst. Te denken valt dan bijvoorbeeld aan het instellen van een (voorlopig) getuigenverhoor of het afdwingen van het verkrijgen van inzage in bepaalde documenten die zich bij de wederpartij bevinden (exhibitieplicht).
Wij zoeken graag met u naar de mogelijkheden om uw bewijsprobleem op te lossen.
Soms ontstaat er in een onderneming een intern geschil tussen aandeelhouders of tussen het bestuur en (enkele) aandeelhouders. Dit kan bijvoorbeeld gaan over de te volgen strategie van de onderneming. In dat geval kan aan de Ondernemingskamer, een speciaal daarvoor geëquipeerde afdeling van het Hof Amsterdam -- bij ons kantoor om de hoek -- een onderzoek naar de gang van zaken binnen de onderneming worden gevraagd. Zo'n onderzoek kan worden voorafgegaan door het vragen van voorlopige voorzieningen, zoals het schorsen van een bestuurder voor de duur van de procedure of het tijdelijk ontnemen van het stemrecht van een aandeelhouder.
Wij denken graag mee over de voor uw situatie passende oplossing.