U leest het goed. Vanaf 1 januari 2016 kan het op internet plaatsen van dergelijke beelden een dure aangelegenheid worden. De ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid’ is per die datum namelijk in werking getreden. Voor de praktijk wijzigt de huidige Wet Bescherming Persoonsgegevens (Wbp) daarmee op twee belangrijke punten: (I) er komt een meldplicht voor datalekken en (II) op overtreding van verplichtingen uit de Wbp (bijvoorbeeld het plaatsen van dergelijke camerabeelden) zijn nu bestuurlijke boetes gesteld.
De meldplicht datalekken
Bij de Autoriteit Persoonsgegevens (het voormalige College Bescherming Persoonsgegevens) moet een melding worden gedaan na een datalek. Dit is bijvoorbeeld het geval wanneer u een USB stick met klantgegevens of personeelsgegevens kwijtraakt, maar ook bij diefstal van een laptop, een inbraak door een hacker, een malwarebesmetting of een verlies van data door bijvoorbeeld brand. Als er bijzondere persoonsgegevens bij betrokken zijn, moet er vrijwel altijd melding worden gedaan. Bijzondere persoonsgegevens zijn bijvoorbeeld: gegevens over godsdienst, gezondheid, ras, lidmaatschap vakvereniging, strafrechtelijke persoonsgegevens, gegevens over onrechtmatig of hinderlijk gedrag, schulden, salarissen, betalingsgegevens, prestaties op school of werk of gebruikersnaam en/of wachtwoord. Als er sprake is van een datalek, dan moet dit binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (hierna: AP) en bij de betrokkene waar de persoonsgegevens betrekking op hebben. De kans bestaat dat de data niet door u gehost wordt, maar door uw ICT-dienstverlener. Zorg er in dat geval voor dat u een overeenkomst heeft met uw ICT-dienstverlener waarin deze garanties afgeeft over beveiliging en het doorgeven van incidenten. U blijft namelijk zelf verantwoordelijk voor de daar opgeslagen data.
Het opleggen van de bestuurlijke boete
Als niet voldaan wordt aan de verplichting om een datalek te melden, maar ook als niet voldaan wordt aan de andere eisen uit de Wbp, bestaat het risico op een bestuurlijke boete. Dit kan bijvoorbeeld het geval zijn als gegevens te lang worden bewaard, de gegevens onvoldoende beveiligd zijn, er medische gegevens zijn opgeslagen zonder wettelijke basis of als gegevens buiten Europa worden opgeslagen zonder juiste waarborgen. Dit betreft slechts enkele voorbeelden. Voor het jaar 2016 zal de handhaving door de AP zich toespitsen op de beveiliging van persoonsgegevens, big data, medische gegevens, gegevens bij de overheid en persoonsgegevens in de arbeidsrelatie. Ten aanzien van die laatste gegevens merkt de AP op dat met name het gebruik van (intern) cameratoezicht en het vastleggen van medische gegevens van werknemers onderzocht zal worden. Als er een overtreding wordt geconstateerd, zal de AP in beginsel eerst een bindende aanwijzing geven alvorens een boete wordt opgelegd, tenzij er sprake is van opzet of grove nalatigheid.
Grove nalatigheid wordt in de wetsgeschiedenis uitgelegd als ‘grof, aanzienlijk onzorgvuldig, onachtzaam danwel onoordeelkundig handelen’. Vooral de laatste mogelijkheid biedt de mogelijkheid om relatief snel over te gaan tot boeteoplegging. Als iets fout is gegaan, zal wellicht snel kunnen worden gezegd dat er onoordeelkundig of onachtzaam is gehandeld. De vraag is hoe de AP hier in de praktijk mee om zal gaan.
Tot slot
Het voorbeeld waarmee ik begon is een overtreding van art. 16 Wbp. Dit is strafbaar gesteld in art. 66 lid 2 Wbp. In de Boetebeleidsregels valt dit onder categorie III. De basisboete is dan €506.000,- en kan naar gelang van schadebeperkende maatregelen of verwijtbaarheid variëren tussen minimaal €350.000,- en maximaal € 820.000,-. U bent gewaarschuwd!
