Nieuwsbrief 37 - December 2015
Meldplicht datalekken: nieuwe regels, nieuwe risico's

'Bewerkersovereenkomsten vaak niet meldplichtproof'

De Wet bescherming persoonsgegevens wordt op 1 januari 2016 uitgebreid met de Meldplicht datalekken. Daardoor moeten de overeenkomsten tussen de verantwoordelijke organisaties en de partijen die de persoonsgegevens verwerken goed worden gecontroleerd. "Die zijn namelijk in de meeste gevallen niet scherp genoeg gedefinieerd om discussies en claims te voorkomen", zegt Yasin Chalabi, manager Professional Insurance van Hiscox. 

"Zowel private als publieke organisaties zijn met ingang van volgend jaar verplicht om inbreuken te melden als die kunnen leiden tot bijvoorbeeld diefstal, verlies of misbruik", vertelt Chalabi. "Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen."

"De persoonsgegevens moeten uiteraard op een zorgvuldige manier zijn verwerkt en mogen niet langer worden bewaard dan noodzakelijk. De wet vereist verder onder meer deugdelijke beveiliging en goed georganiseerd beheer van de gegevens."

"De verantwoordelijke organisatie moet dus kunnen aantonen dat er voldoende technische en organisatorische maatregelen zijn genomen om een datalek te voorkomen. Wie zich niet aan deze regels houdt, kan zwaar worden bestraft. Nu bedraagt de boete nog maximaal € 4.500. Vanaf 1 januari wordt deze verhoogd naar maximaal € 810.000 (!) of 10% van de jaaromzet van de verantwoordelijke."

Verantwoordelijke vs. bewerker

In de praktijk wordt de verwerking van persoonsgegevens vaak niet uitgevoerd door de organisatie zelf, maar door derden. "Zo'n partij wordt de bewerker genoemd", aldus Chalabi. "Volgens de definitie is dat een (rechts)persoon die gegevens ten behoeve van de verantwoordelijke verwerkt. Denk bijvoorbeeld aan een leverancier van IT-diensten, een hosting provider of een payrollbedrijf."

"Zo'n bewerker heeft geen zelfstandige meldplicht. Wel moeten de verantwoordelijke en de bewerker afspraken maken, zodat de verantwoordelijke kan voldoen aan zijn wettelijke plicht. Denk daarbij aan antwoorden op vragen als: Wanneer gaat de bewerker de verantwoordelijke informeren?, Welke informatie verstrekt de bewerker?, Krijgt de verantwoordelijke updates over de ontwikkelingen?"

"Daarnaast eist de toezichthouder dat de overeenkomst in detail beschrijft wat de instructies zijn, welke persoonsgegevens voor welke doeleinden worden gebruikt en hoe de beveiliging is geregeld. Al die afspraken moeten worden vastgelegd in een bewerkersovereenkomst. Die bestaat nu ook al, maar is vaak niet afgestemd op de wetgeving die vanaf 1 januari 2016 geldt."

Nieuwe service van Hiscox

Om discussies en het verleggen van (boete)claims te voorkomen, doen bedrijven er verstandig aan hun overeenkomsten zo snel mogelijk te controleren en waar nodig aan te passen. Om hen daarbij te helpen, heeft Hiscox – naast de securitycheck op locatie – een nieuwe dienst ontwikkeld. Chalabi: "In samenwerking met onze nieuwe partner ICT Recht hebben wij een mooi aanbod voor nieuwe Cyber- en Data Risks Hiscox-klanten. Het checken en aanpassen van deze overeenkomsten kost normaliter € 1.200. Onze klanten kunnen hun bewerkersovereenkomsten kosteloos voorleggen aan juridisch specialisten om de contracten 'meldplichtproof' te maken. Want voorkomen is altijd beter dan genezen."