Bedrijven met een vermoedelijk datalek moeten dit sinds kort melden bij de Autoriteit Persoonsgegevens. Het is de vraag of Nederlandse bedrijven die datalekken melden hierdoor kans lopen op reputatieschade. In dit artikel zal nader worden ingegaan op de vraag of de Autoriteit verplicht of bevoegd is onderzoeksbevindingen te publiceren.
Verplichting tot openbaarmaking
Op dit moment is er geen wettelijke verplichting voor de Autoriteit Persoonsgegevens om onderzoeksbevindingen openbaar te maken. In lijn met de Wet openbaarheid van bestuur (Wob) en de Beleidsregels van de Autoriteit Persoonsgegevens heeft de voorzitter van de Autoriteit wel voorgesteld deze verplichting in te voeren. De Minister van Veiligheid en Justitie heeft hierover gesteld dat er medio 2016 een onderzoek zal plaatsvinden naar de meerwaarde van een dergelijke wettelijke bepaling.
Beleid Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens neemt alle meldingen van datalekken op in een register. Dit register is niet openbaar. De Autoriteit Persoonsgegevens kan wel een onderzoek starten naar aanleiding van een gemeld lek, waarbij er in dat kader wel bedrijfsnamen en namen van verantwoordelijken van de (rechts)persoon kunnen worden gepubliceerd. Er wordt hierbij wel een uitzondering gemaakt voor bedrijven waarvan de naam van een natuurlijk persoon deel uitmaakt van de bedrijfsnaam: in dat geval wordt de bedrijfsnaam in beginsel niet gepubliceerd. Daarnaast houdt de Autoriteit Persoonsgegevens rekening met zwaarwegende gronden die voor een publicatie in de weg staan.
Europese Privacyverordening
De Nederlandse Autoriteit Persoonsgegevens krijgt met de aankomende Europese Privacyverordening niet alsnog de verplichting om de gemelde datalekken en al haar bevindingen te publiceren. Echter, de nationale wetgever is wel bevoegd om regels in te stellen die de Autoriteit alsnog verplichten om de namen van bedrijven die een datalek hebben gemeld te publiceren.
Intern beleid bedrijven
Op grond van artikel 34a lid 8 van de Wet Bescherming Persoonsgegevens (Wbp) moeten bedrijven intern een register bijhouden waarin alle interne datalekken worden opgenomen. Dit protocol heeft als doel het toezicht van de Autoriteit Persoonsgegevens te ondersteunen. De Staatssecretaris van Veiligheid en Justitie stelt hierover in de Memorie van Toelichting van de Wet Meldplicht Datalekken dat dit protocol niet de functie heeft van een openbaar register, omdat de belangen van beveiliging en de daarmee gemoeide investeringen voor openbaarmaking in de weg staan.
Conclusie
Het register van de Autoriteit Persoonsgegevens waarin wordt bijgehouden welke bedrijven een datalek hebben gemeld is niet openbaar. Namen van bedrijven met een datalek kunnen wel worden gepubliceerd door de Autoriteit Persoonsgegevens in het kader van verder onderzoek door de Autoriteit Persoonsgegevens. Om reputatieschade te voorkomen kan worden aangeraden aan ondernemers om te investeren in compliance. Hierdoor kan de kans op schade van een datalek en de daarbij behorende kans op reputatieschade in ieder geval worden beperkt.
Heeft u vragen over compliance of de Wet Meldplicht Datalekken? Voor vragen en/of opmerkingen kunt u contact opnemen met Team Privacy van JPR Advocaten.