of 60220 LinkedIn

De kans op een boete voor een datalek voor gemeenten

Er is al veel geschreven over de Wet meldplicht datalekken. Er wordt gedreigd met hoge boetes als een datalek niet wordt gemeld. Vooral handige en commerciële partijen spelen hierop in met leuzen als: 'Maak uw organisatie datalekproof!', 'Beperk het risico op een boete!'

Ik zie cursus na cursus voorbij komen waarbij je een dag lang wordt bijgepraat over de meldplicht. Zo ingewikkeld is het echter helemaal niet. En zo bang hoeft een gemeente ook niet te zijn voor een boete wegens het niet melden van een datalek. Ik zal zo uitleggen waarom, maar maak eerst een klein uitstapje naar de andere beboetbare overtredingen.

 

De Autoriteit Persoonsgegevens (AP) kan namelijk ook een bestuurlijke boete opleggen voor het overtreden van andere bepalingen uit de Wbp. Bijvoorbeeld voor het ‘onzorgvuldig’ en ‘niet in overeenstemming met de wet’ verwerken van persoonsgegevens, het verwerken zonder verwerkingsgrondslag of het niet tijdig (binnen vier weken) reageren op een inzageverzoek van een betrokkene. Daar hoor je bijna niemand over, terwijl de boetes hiervoor net zo hoog zijn. Sterker nog: de AP heeft in haar eigen boetebeleidsregels bepaald dat een hogere boete kan worden opgelegd (categorie III: tussen € 350.000,-- en € 820.000,--) voor het overtreden van het verbod op het verwerken van bijzondere persoonsgegeven (bv medisch gegevens) of het gebruik van het BSN terwijl dat niet bij wet is voorzien, dan voor het niet melden van een datalek. Laatstgenoemde overtreding is ingedeeld in categorie II, met een boetebandbreedte tussen de € 120.000 en € 500.000,-. Ik denk dus dat er meer risico’s zitten in het delen van gegevens binnen het sociaal domein of in het ongebreidelde gebruik van het BSN.

 

Terug naar het datalek. De wettelijk omschrijving van een datalek is vrij omslachtig. Kort gezegd komt het er op neer dat persoonsgegevens kwijt raken, of dat ze ergens terecht komen waar ze niet horen. Veel voorkomende datalekken worden veroorzaakt als iemand een USB-stick met dossiers van klanten kwijtraakt, als je een email stuurt aan de verkeerde persoon of als je bestanden kwijtraakt waarvan geen backup  is gemaakt. De menselijke factor speelt hierbij vaak een grote rol. Deze risico’s zijn goed te beheersen door bewustwording en een intern protocol.

 

En hoe groot is de kans op een boete? In de wet staat dat een boete pas wordt opgelegd, nadat de AP een bindende aanwijzing heeft gegeven. Uitzondering daarop is als de overtreding opzettelijk is gepleegd of het gevolg is van ernstige nalaatbaarheid. Ik denk dat je het daarom wel erg bont moet maken als gemeente voordat je een boete krijgt voor een datalek. Bovendien is de gemeente een overheidsorganisatie, die je niet zo snel pakt in de portemonnee als bijvoorbeeld een bedrijf. De burger zal de dupe worden van een eventueel boete. Volgens mij een extra reden voor de AP om terughoudend te zijn met het opleggen van een boete. Als er geen grove opzet in het spel is, je een lek bij de AP meldt en eventuele aanwijzingen opvolgt, zal niet snel een boete worden opgelegd.

Wolfje Mijnders
Meer columns van wolfje Mijnders leest u hier.  

Verstuur dit artikel naar Google+

Reageer op dit artikel
Even geduld a.u.b.

Reactie op dit bericht

Door Fred (Schoorsteenveger) op
Heb al sedert 2007 domeinnaam. Gemeente kiest ook voor naam in 2016 maar plaatst 'de' ervoor. Gemeente heeft geprobeerd domeinnaam te kopen maar begon met juridische dreigementen. Waarna onderhandelingen door ons werden verbroken. Inmiddels duizenden emails bestemd voor gemeente ontvangen. Autoriteit van in kennis gesteld. Autoriteit vraagd example van ontvangen mails te sturen via encrypted mail! Van alles t/m bsn etc...etc...etc.. Autoriteit benadert gemeente. Gemeente verschuilt zich achter: fout emailadres is verantwoordelijkheid verstuurder,. Ja ja ...gemeente heeft mijn naam ook onder andere extentie laten vastleggen die mijn bedrijf niet werden gegund omdat het een gemeentenaam zou betreffen. Hoezo geen gemeentenaam? Zelfs mails kunnen de gemeente gestuurd via gelijke naam onder andere extentie dan .nl.
Nou vraag ik je.. Hoezo verantwoordelijkheid verstuurder! Als slot: stuurt gemeente mij brief waarin zij aannemen dat ik mails aan de Autoriteit heb verstrekt en dat mag niet. Dreigen weer met juridische stappen. Kennelijk hebben gemeenten 'lak' aan de Autoriteit!

Door Kees Hintzbergen (niet relevant) op
Wel jammer dat Poppe wat laat een reactie geeft die verder niet past bij het artikel. Daarnaast ben ik het niet eens met Wolfje op het punt dat de kans dat een gemeente een boete krijgt als gevolg van een datalek klein is. De motivatie klinkt aardig, maar in de basis gaat het mank omdat ik denk dat de AP geen uitzondering maakt. Als een gemeente meerdere keren ernstig nalatig is dan zie ik geen reden om die gemeente niet als voorbeeld te stellen.
Ik durf zelfs te beweren dat wij allemaal iedere dag minimaal 1 datalek hebben, want als er een inbreuk is op de beveiliging (en die heb je al gauw als je niet in control bent) en je verwerkt persoonsgegevens, dan kun je nooit uitsluiten dat persoonsgegevens onrechtmatig verwerkt zijn. Kortom, we hebben minstens iedere dag een datalek.
Door Poppe Wijnsma (Dir) op
Mevrouw Mijnders dient zich te realiseren wat het betekend als er niet zorgvuldig wordt omgegaan met persoonsgegevens. Dit is helaas in gemeenteland regelmatig aan de orde. Uit eindelijk gaat het om persoonlijke verantwoordelijkheid en NIET het bagatelliseren van de ernst ven een dergelijk vergrijp.
Hieruit blijkt dat mevrouw Mijnders alleen regels wil volgen als ze er van overtuigd is dat ze een groot financieel risico loopt, zo niet dan is er niet aan de hand.
NADENKEN !!!!!!!!!!
Door Boete is gvd ons belastinggeld (Boete is gvd ons belastinggeld) op
Boete? Boete is gvd ons belastinggeld! Gooi die falende ambtenare er maar uit!! Sukkels.
Door Tom op
Er zijn een aantal belangrijke punten welke te genuanceerd zijn. Verder merk ik dat dit artikel vooral geschreven is vanuit uw eigen perceptie en mening.

Een aantal voorbeelden:

"En zo bang hoeft een gemeente ook niet te zijn voor een boete wegens het niet melden van een datalek."

Het AP zegt zelf "De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden"

Het niet melden van een datalek is wat anders dan de impact van het datalek. In de wet bescherming persoonsgegevens staat beschreven dat een bedrijf of overheid VERPLICHT is om datalekken te melden als er persoonsgegevens bij betrokken zijn. AP heeft afgelopen week tijdens de One-conferentie van het NCSC aangegeven dat ze hier dan ook strenger op gaan controleren.

"Bovendien is de gemeente een overheidsorganisatie, die je niet zo snel pakt in de portemonnee als bijvoorbeeld een bedrijf"

Er zijn juist voorbeelden waarbij websites van overheden als eerste aangepakt worden vanwege haar "voorbeeld functie"

NPO krijgt boete van 25.000 euro voor cookiebeleid. Zie: http://www.nu.nl/internet/3954459/npo-krijgt-boe …

"De ACM zei zich bij de handhaving van de Nederlandse cookiewet te richten op overheidswebsites zoals die van de NPO, vanwege hun 'voorbeeldfunctie'. Het is onduidelijk of de waakhond ook andere sites wil manen tot veranderingen."