of 59045 LinkedIn

De kans op een boete voor een datalek voor gemeenten

Er is al veel geschreven over de Wet meldplicht datalekken. Er wordt gedreigd met hoge boetes als een datalek niet wordt gemeld. Vooral handige en commerciële partijen spelen hierop in met leuzen als: 'Maak uw organisatie datalekproof!', 'Beperk het risico op een boete!'

Ik zie cursus na cursus voorbij komen waarbij je een dag lang wordt bijgepraat over de meldplicht. Zo ingewikkeld is het echter helemaal niet. En zo bang hoeft een gemeente ook niet te zijn voor een boete wegens het niet melden van een datalek. Ik zal zo uitleggen waarom, maar maak eerst een klein uitstapje naar de andere beboetbare overtredingen.

 

De Autoriteit Persoonsgegevens (AP) kan namelijk ook een bestuurlijke boete opleggen voor het overtreden van andere bepalingen uit de Wbp. Bijvoorbeeld voor het ‘onzorgvuldig’ en ‘niet in overeenstemming met de wet’ verwerken van persoonsgegevens, het verwerken zonder verwerkingsgrondslag of het niet tijdig (binnen vier weken) reageren op een inzageverzoek van een betrokkene. Daar hoor je bijna niemand over, terwijl de boetes hiervoor net zo hoog zijn. Sterker nog: de AP heeft in haar eigen boetebeleidsregels bepaald dat een hogere boete kan worden opgelegd (categorie III: tussen € 350.000,-- en € 820.000,--) voor het overtreden van het verbod op het verwerken van bijzondere persoonsgegeven (bv medisch gegevens) of het gebruik van het BSN terwijl dat niet bij wet is voorzien, dan voor het niet melden van een datalek. Laatstgenoemde overtreding is ingedeeld in categorie II, met een boetebandbreedte tussen de € 120.000 en € 500.000,-. Ik denk dus dat er meer risico’s zitten in het delen van gegevens binnen het sociaal domein of in het ongebreidelde gebruik van het BSN.

 

Terug naar het datalek. De wettelijk omschrijving van een datalek is vrij omslachtig. Kort gezegd komt het er op neer dat persoonsgegevens kwijt raken, of dat ze ergens terecht komen waar ze niet horen. Veel voorkomende datalekken worden veroorzaakt als iemand een USB-stick met dossiers van klanten kwijtraakt, als je een email stuurt aan de verkeerde persoon of als je bestanden kwijtraakt waarvan geen backup  is gemaakt. De menselijke factor speelt hierbij vaak een grote rol. Deze risico’s zijn goed te beheersen door bewustwording en een intern protocol.

 

En hoe groot is de kans op een boete? In de wet staat dat een boete pas wordt opgelegd, nadat de AP een bindende aanwijzing heeft gegeven. Uitzondering daarop is als de overtreding opzettelijk is gepleegd of het gevolg is van ernstige nalaatbaarheid. Ik denk dat je het daarom wel erg bont moet maken als gemeente voordat je een boete krijgt voor een datalek. Bovendien is de gemeente een overheidsorganisatie, die je niet zo snel pakt in de portemonnee als bijvoorbeeld een bedrijf. De burger zal de dupe worden van een eventueel boete. Volgens mij een extra reden voor de AP om terughoudend te zijn met het opleggen van een boete. Als er geen grove opzet in het spel is, je een lek bij de AP meldt en eventuele aanwijzingen opvolgt, zal niet snel een boete worden opgelegd.

Wolfje Mijnders
Meer columns van wolfje Mijnders leest u hier.  

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door Boete is gvd ons belastinggeld (Boete is gvd ons belastinggeld) op
Boete? Boete is gvd ons belastinggeld! Gooi die falende ambtenare er maar uit!! Sukkels.
Door Tom op
Er zijn een aantal belangrijke punten welke te genuanceerd zijn. Verder merk ik dat dit artikel vooral geschreven is vanuit uw eigen perceptie en mening.

Een aantal voorbeelden:

"En zo bang hoeft een gemeente ook niet te zijn voor een boete wegens het niet melden van een datalek."

Het AP zegt zelf "De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden"

Het niet melden van een datalek is wat anders dan de impact van het datalek. In de wet bescherming persoonsgegevens staat beschreven dat een bedrijf of overheid VERPLICHT is om datalekken te melden als er persoonsgegevens bij betrokken zijn. AP heeft afgelopen week tijdens de One-conferentie van het NCSC aangegeven dat ze hier dan ook strenger op gaan controleren.

"Bovendien is de gemeente een overheidsorganisatie, die je niet zo snel pakt in de portemonnee als bijvoorbeeld een bedrijf"

Er zijn juist voorbeelden waarbij websites van overheden als eerste aangepakt worden vanwege haar "voorbeeld functie"

NPO krijgt boete van 25.000 euro voor cookiebeleid. Zie: http://www.nu.nl/internet/3954459/npo-krijgt-boe …

"De ACM zei zich bij de handhaving van de Nederlandse cookiewet te richten op overheidswebsites zoals die van de NPO, vanwege hun 'voorbeeldfunctie'. Het is onduidelijk of de waakhond ook andere sites wil manen tot veranderingen."