1 jaar meldplicht datalekken, op naar het tweede jaar (en KEI)
Datalekken zijn aan de orde van de dag en halen regelmatig het nieuws. Eerder werd bekend dat ziekenhuizen vrijwel dagelijks een datalek melden. Eind november publiceerde de Autoriteit Persoonsgegevens (hierna: AP) dat sinds begin 2016 ziekenhuizen 304 keer melding hebben gemaakt van een datalek. Uit het jaaroverzicht van de Autoriteit persoonsgegevens blijkt dat in de periode tussen 1 januari en 15 december 2016 bijna 5500 datalekken gemeld zijn.[1] Van de ongeveer 5500 meldingen heeft AP in ruim 4000 gevallen een oriënterend onderzoek gedaan. Meer dan 100 organisaties kregen naar aanleiding van dit oriënterende onderzoek een waarschuwing. Boetes heeft AP in 2016 niet uitgereikt. Binnen de huidige data-driven businessmodellen en vooral digitale maatschappij lijkt een datalek soms onvermijdbaar. Wat zijn de vooruitzichten voor 2017?
Toelichting cijfers 2016
De meeste datalekken in 2016 kwamen voor in de gezondheidszorg, financiële dienstverlening en het openbaar bestuur. Binnen deze branches zijn veel gevoelige persoonsgegevens in omloop waardoor dit snel leidt tot een melding van een datalek. 29% Procent van de ongeveer 5500 datalekken waren in 2016 afkomstig uit de gezondheidszorg, dit zijn ongeveer 1595 meldingen van datalekken verdeeld over 366 dagen (schrikkeljaar). Dit betekent dat in 2016 ongeveer 4 meldingen van een datalek in de gezondheids- en welzijn branche per dag is gedaan. In mei sprak vicevoorzitter van de Autoriteit Persoonsgegevens, Wilbert Tomesen, zich uit over het aantal meldingen van datalekken waarbij hij vermoedde dat het aantal meldingen bij het AP maar het topje van de ijsberg is nu er in Nederland ongeveer 130.000 organisaties zijn die persoonsgegevens verwerken.[2]
Meldingen per sector in 2016 (bron: AP) [3]
Op basis van het aantal organisaties dat persoonsgegevens verwerkt werden ongeveer 60.000 datalekken per jaar verwacht.[4] De discrepantie tussen het aantal verwachtte meldingen en het daadwerkelijke aantal meldingen kan te maken hebben met de noviteit van de meldplicht datalekken. Op grond van artikel 34a Wet bescherming persoonsgegevens (hierna: Wbp) hoeven niet alle datalekken gemeld te worden. Artikel 34a Wbp spreekt van een datalek die bij AP gemeld moet worden wanneer de datalek:
- “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen”;
- “dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.
Deze criteria kunnen door bedrijven en medewerkers per geval anders worden toegepast. Ook de branche en het soort gegevens zullen hierbij een rol spelen. Daarnaast zullen medewerkers mogelijk minder snel een datalek melden of doorgeven wanneer er weinig mensen geraakt worden door de datalek en/of wanneer men onvoldoende is geïnformeerd over de gevolgen van een datalek en wat ermee te doen. Het aantal meldingen uit 2016 laat zien dat de bewustwording bij organisaties die persoonsgegevens verwerken nog beter kan.
Boetes
In 2016 heeft AP enkel waarschuwingen gegeven maar heeft het nog geen boetes uitgedeeld, echter lopen er nog tientallen onderzoeken. Mogelijk komt de eerste boete voort uit een van deze onderzoeken. De boete die de AP kan opleggen kan op basis van de Wbp oplopen tot maximaal €820.000,0-. Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding.[5] Uit de beleidsregels met betrekking tot het opleggen van bestuurlijke boetes blijkt dat de boetes zullen bestaan uit een basisboete die kan worden verhoogd of verlaagd afhankelijk van de mate waarin verscheidene factoren daartoe aanleiding geven. Deze factoren zijn:
– de aard en omvang van de overtreding;
– de duur van de overtreding;
– de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij.
Daarnaast kunnen er nog andere boeteverhogende of verlagende factoren een rol spelen, zoals wanneer het niet de eerste keer is dat de AP een schending bij een overtreder heeft vastgesteld.[6] Wellicht dat de AP in 2017 wel overgaat tot het uitdelen van boetes en zo daadkrachtiger optreedt.
KEI
2017 is ook het jaar waarin de rechtspraak start met KEI (Kwaliteit en Innovatie rechtspraak), een modernisering en in het bijzonder digitalisering van de rechtspraak. Met de invoering van KEI wordt de Wet Digitale processtukken van kracht. Professionele partijen (zoals bedrijven, advocaten en deurwaarders en bestuursorganen) moeten straks digitaal procederen. Onlangs werd in een arrest van de Hoge Raad aangekaart of het wenselijk is dat er binnen rechtspraak via de mail processtukken worden gestuurd nu het verleden voldoende heeft bewezen dat mail niet de meest vertrouwelijke manier van communiceren is.[7]
2017
Gedurende de loop der jaren zijn meer apparaten dan ooit verbonden met het internet en worden steeds meer gegevens opgeslagen in de cloud. Daarom zal de preventie van datalekken door bijvoorbeeld juiste en heldere protocollen maar ook door middel van ICT-beveiliging een grote rol gaan spelen in 2017.
[1] <https://autoriteitpersoonsgegevens.nl/nl/nieuws/1-jaar-meldplicht-datalekken>
[2] < http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html>
[3] Factsheet facts & figures meldplicht datalekken 2016 AP.
[4] <http://nos.nl/artikel/2104842-privacywaakhond-datalekken-worden-niet-gemeld.html>
[5] <https://autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-publiceert-conceptboetebeleidsregels>
[6] Beleidsregels van de Autoriteit Persoonsgegevens met betrekking tot het opleggen van bestuurlijke boetes.
[7] HR 22 november 2016, ECLI:NL:HR:2016:2654.