of 59123 LinkedIn

Aansprakelijk voor een datalek?

Het aantal gemelde datalekken neemt gestaag toe. Volgens de cijfers van de Autoriteit Persoonsgegevens (AP) is het aantal gemelde datalekken over de eerste drie kwartalen van 2017 verdubbeld ten aanzien van dezelfde periode in het jaar daarvoor. Je kan deze cijfers vinden op de website van de AP.

De paniek rondom datalekken is volgens mij iets afgenomen. Wel is het soms nog lastig de afweging te maken óf iets een datalek is. Het moet echt gaan op een inbreuk op de beveiliging. Die beveiliging kan technisch zijn, maar ook organisatorisch (bv een werkwijze die niet is opgevolgd). In de onlangs verschenen Handleiding AVG (gepubliceerd op www.rijksoverheid.nl) is in heldere bewoordingen uitgelegd dat het moet gaan om een daadwerkelijke inbreuk, niet om de dreiging van een inbreuk of een tekortkoming in de beveiliging.

 

Overigens is het soms lastig, omdat er bij een dreiging of een tekortkoming wel sprake kan zijn van de theoretische mogelijkheid dat iemand de gegevens onrechtmatig heeft ingezien. Een voorbeeld hiervan is een gemeente breed zaaksysteem waarin allerlei zaken toegankelijk zijn voor alle ambtenaren, terwijl het niet nodig is voor hun werk. Als je het gebruik van dit zaaksysteem vervolgens niet logt, kan je de mogelijkheid dat iemand een zaak heeft geraadpleegd terwijl het niet nodig was voor het werk, niet uitsluiten.

 

Een vraag die regelmatig opkomt, is: wie is er nu aansprakelijk voor (mogelijke) schade als gevolg van een datalek? Het antwoord op deze vraag is (het zal je niet verbazen, want ik ben en blijf natuurlijk een jurist): dat hangt er vanaf. Omdat je hier vrij weinig aan hebt, zal ik toch een tipje van de sluier oplichten. In zijn algemeenheid is de verantwoordelijke (dus vaak het college) aansprakelijk voor schade. In de AVG wordt straks echter geregeld dat een verwerker een eigen wettelijke aansprakelijkheid kent. Op grond van artikel 82 lid 2 AVG is de verwerker aansprakelijk als de schade is veroorzaakt door de verwerking én als de verwerker niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

 

Deze bepaling creëert een boel ruimte voor discussie tussen juristen, waarbij de discussie vooral gaat over de vraag of je deze aansprakelijkheid kan beperken. De beperking ten aanzien van de aansprakelijkheid zal niet moeten gelden ten opzichte van betrokkene, maar kunnen volgens mij wel een rol spelen in de verhouding tussen de contractanten, vaak de gemeente en de leverancier, of tussen gemeenten onderling als de ene gemeente een dienst levert voor de anderen. De gewone regels voor aansprakelijkheid gelden (vergelijkbaar met de regels omtrent toerekenbare tekortkoming uit het BW). Dat betekent dat de verwerker niet kan opschrijven dat hij niet aansprakelijk is.

 

Wat je als verwerker wel kan doen, is in de contractuele verhouding de aansprakelijkheid beperken. Het belangrijkst is dat de betrokkene (de burger) zijn/haar volledige schade vergoed moet krijgen. In overweging 146 van de  AVG is nog overwogen dat verantwoordelijke en verwerker onderling regresrecht hebben. Degene die door betrokkene wordt aangesproken, moet de schade betalen. In de onderliggende contractuele verhouding tussen verwerker en verantwoordelijke is vervolgens geregeld wie welk deel moet betalen. Toch ben ik benieuwd naar de juridische steekspellen die zullen plaatsvinden. Ik wacht met belangstelling de eerste aansprakelijkheidsstelling voor schade als gevolg van een datalek af.

Verstuur dit artikel naar Google+