De Wet Meldplicht Datalekken is in werking getreden op 1 januari 2016. In feite is dit een wijziging van de Wet bescherming persoonsgegevens (Wbp) op twee belangrijke punten:
Er wordt een strengere meldplicht ingevoerd èn de boetebevoegdheid van het College Bescherming Persoonsgegevens (CBP) wordt aanzienlijk uitgebreid.
Een belangrijke wetswijziging dus voor iedereen die met persoonsgegevens werkt, zoals een beheerder van een webshop.

Wat betekent de Wet Datalek Meldplicht nu concreet?
Vanaf 1 januari 2016 is het voor organisaties verplicht om een melding te doen bij het CBP zodra er persoonsgegevens gelekt zijn door een beveiligingsincident. Denk aan een hack waarbij men toegang heeft gekregen tot je database, maar ook aan het verliezen van een laptop in de trein waarmee je je orders afhandelt. Naast melding te maken bij het CBP dien je in ernstige gevallen ook de betrokkenen (dus de mensen van wie de persoonsgegevens zijn gelekt) op de hoogte te stellen. De details van de wet staan vrij helder omschreven in de beleidsregels die het CBP heeft uitgebracht, raadpleeg hiervoor de website cbpweb.nl voor meer informatie!

De wet Datalek Meldplicht heeft een getrapt model, dat er als volgt uitziet:

 

Dit model is afkomstig uit de officiële beleidsregels van het CBP. Als er er onverhoopt iets is gebeurd dien je dus eerst voor jezelf na te gaan of er sprake is van een beveiligingsincident en of er persoonsgegevens verloren zijn gegaan. Dit wordt vrij ver doorgetrokken: stuur je een mailtje met orderdetails per ongeluk naar de verkeerde persoon, dan zijn er volgens het CBP al persoonsgegevens gelekt.

Melden binnen 72 uur
Je zult dan binnen 72 uur melding moeten doen bij het CBP. Deze 72 uur gaat in op het moment dat je er zelf achterkomt.

Wanneer moet je ook de betrokkenen informeren?
Zoals gezegd betreft het hier een getrapt model. Als je voor jezelf vaststelt dat je het niet hoeft de melden bij het CBP, dan hoef je ook de betrokkenen niet te informeren. Ook als je het wel het CBP moet melden, betekent dit nog niet dat je de betrokkenen op de hoogte moet stellen. Je bent hiertoe pas verplicht als “het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”, zoals het geval is als er credit card gegevens zijn buitgemaakt. Er moet gezegd worden dat het aan jou om deze afweging te maken. In de praktijk zal het zo zijn dat het CBP jou laat weten of het noodzakelijk is of toch niet.

Het CBP benoemt wel heel specifiek wat je moet doen als de gelekte data beveiligd is door middel van encryptie of hashing. In de beleidsregels van het CBP is hierover opgenomen: “Als u passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten.” Het datalek dien je dan te melden bij het CBP, maar niet aan de betrokkenen. In de praktijk betekend dit echter wel dat je regelmatig moet controleren of de encryptie op jouw webshop nog intact is.

Kans op een hoge boete
Als je bij het CBP melding maakt van een datalek betekent dat niet dat je direct een boete krijgt opgelegd. In de meeste gevallen krijg je een ‘bindende aanwijzing’ om je beveiliging aan te scherpen. Het CBP kan je wél direct een boete opleggen als “de overtreding opzettelijk is gepleegd of als er sprake is van ernstig verwijtbare nalatigheid”.

Wat is ernstige verwijtbare nalatigheid?
‘Opzettelijk overtreding’, die is duidelijk. Als je persoonsgegevens doorverkoopt aan een derde is er sprake van opzet. Maar ‘ernstige verwijtbare nalatigheid’, wat is dat? Ben je al nalatig als je niet op de laatste Magento software draait, als je niet elke patch hebt geïnstalleerd, als je geen SSL certificaat gebruikt? In artikel 66 lid 4 van de Wet Bescherming Persoonsgegevens zie je dat er geen enkel woord aan vuil wordt gemaakt.

In de juridische wereld wordt dan al snel gesproken over ‘gangbare veiligheidsmaatregelen’. Maar wat dát dan precies is, zullen we voor onszelf moeten bepalen. Uiteindelijk is het het CBP dat bepaalt of jou ernstige nalatigheid kan worden verweten. Natuurlijk kun je dit oordeel wel altijd aanvechten bij de rechter.

Gangbare veiligheidsmaatregelen voor een webshop zijn:

  • Zorg dat je een SSL certificaat gebruikt;
  • Zorg dat je bij veiligheidspatches van de software waarin de webshop is gemaakt (incl. alle plugins/extensies) direct actie onderneemt. Wees niet nalatig!
  • Zorg dat je op een veilige versie van de webshop software draait. Dat hoeft niet per se de laatste versie te zijn, maar wel de laatste security release!
  • Werk alleen aan jouw site vanaf een veilige computer die goed beveiligd is. (laatste Java versie, up-to-date virusscanner & firewall software en geen keyloggers).

De hoogte van de boete
kan oplopen tot € 820.000,-- of 10% van de omzet. Deze bedragen kunnen in de praktijk erg uiteenlopen. Die 10% van de omzet wordt waarschijnlijk genoemd voor bedrijven en situaties waarbij € 820.000,-- niet genoeg is. Een opzettelijk datalek wordt gezien als een serieus vergrijp en voor bedrijven met een flinke omzet kan € 820.000,-- niet veel geld veel zijn.

Neem voorzorgsmaatregelen
Voorkom dat je bij het CBP aan moet kloppen. We weten dat een 100% veilig internet een utopie is. Dat weet het CBP ook. Het doel van deze wet is dus ook niet om lekken helemaal te voorkomen, maar om awareness te creëren bij partijen die werken met persoonsgegevens en hiermee indirect zoveel mogelijk schade te voorkomen.

Als eigenaar/beheerder van een webshop kun je je met enkele voorzorgsmaatregelen voorbereiden op de wet Datalek Meldplicht:

  • Neem de gangbare veiligheidsmaatregelen. Bepaal voor jezelf wat die zijn, maar zorg in ieder geval voor een SSL certificaat, houd je site up-to-date, installeer veiligheidspatches, etc.;
  • Monitor nauwlettend wat er op je site gebeurt;
  • Zorg dat je een plan hebt liggen voor als het onverhoopt toch mis is gegaan. Bedenk je dat je niet erg lang de tijd hebt om het datalek te melden. Met zo'n plan voorkom je paniek en het scheelt enorm als je weet hoe je moet handelen.