Website
KienhuisHoving-Academy

Anfang 2016 tritt das Gesetz zur Meldepflicht von Datenpannen in Kraft

Artikel gepostet am 10 März 2016 16:13

Am 4. Juni 2015 wurde das Gesetz zur Meldepflicht von Datenpannen („Wet meldplicht datalekken“) verabschiedet. Dieses Gesetz tritt am 1. Januar 2016 in Kraft. Die Meldepflicht wurde ebenfalls im niederländischen Datenschutzgesetz („Wet Bescherming Persoonsgegevens“, kurz: „Wbp“)) aufgenommen.

Datenpanne

Wann spricht man von einer Datenpanne? Eine Datenpanne liegt vor, wenn personenbezogene Daten in die Hände von Dritten fallen, die keinen Zugang zu diesen Daten haben dürften. Oftmals ist eine Datenpanne Folge eines Sicherheitsproblems. Beispiele dafür sind aktuelle in den Medien behandelte Vorfälle über durchgesickerte medizinische Daten oder Personalakten, die sich plötzlich auf der Straße wiederfanden. Auch Diebstähle von Kundendaten können eine Datenpanne darstellen. Jedes Unternehmen verarbeitet Daten und damit auch personenbezogene Daten, sowohl von Kunden als von Mitarbeitern. Pflegeeinrichtungen verarbeiten ebenfalls personenbezogene Daten von Patienten und Mitarbeitern. Durch das zunehmende Risiko von durchgesickerten Daten, beispielsweise durch menschliche Fehler, unzureichende Sicherung, Betrug im eigenen Unternehmen und/oder bewusste kriminelle Angriffe von außerhalb, können Daten in die falschen Hände geraten oder gänzlich verloren gehen. 

Welche Auswirkungen hat dies für Unternehmen und Pflegeeinrichtungen? Wann müssen Datenpannen gemeldet werden? Was genau muss gemeldet werden? Welche Präventivmaßnahmen können getroffen werden? Welche Absprachen können und müssen mit Auftragnehmern getroffen werden? Auf wem ruht die Meldepflicht und welche Konsequenzen drohen, wenn eine Meldung nicht - oder nicht rechtzeitig - erfolgt? 

Einige Begriffe aus dem Wbp

Bevor die neuen Verpflichtungen aus dem Gesetz zur Meldepflicht von Datenpannen eingehender beschrieben werden, folgt hier erst eine Erläuterung zu einigen Begriffen aus dem Wbp. Die Meldepflicht wird für diejenigen gelten, die das Ziel und die Mittel zur Verarbeitung personenbezogener Daten festlegen. In dem Wbp werden diese als „Auftraggeber“ bezeichnet. Zum Beispiel in der folgenden Situation: Ein Hausarzt speichert Patientendaten in einem Hausarztinformationssystem. Durch Sozialversicherungsnummer und persönliche Angaben sind die medizinischen Daten einem individuellen Patienten zuzuordnen, also einer natürlichen Person. Diese natürliche Person wird im Wbp als „Betroffener“ bezeichnet. In diesem Beispiel ist der Hausarzt der Auftraggeber. Unter die personenbezogenen Daten fallen sämtliche Daten, die einer identifizierten oder identifizierbaren natürliche Person (z.B. Name, E-Mailadresse, Foto, medizinische Daten, aber manchmal auch die IP-Adresse) zuzuordnen sind. 

Der Begriff Verarbeitung umfasst jede Handlung, die sich auf personenbezogene Daten bezieht, vom Moment der Datenerhebung bis zur Datenlöschung. Darunter versteht sich auch das Speichern von Daten durch Dritte. Diese Dritten „verarbeiten“ die Daten im Auftrag des Auftraggebers und werden als Auftragnehmer bezeichnet. Die Verpflichtungen des Auftragnehmers müssen in einem Vertrag über Auftragsdatenverarbeitung genauestens festgelegt werden; diese gesetzliche Voraussetzung ergibt sich aus Artikel 14 Wbp. Die niederländische Datenschutzbehörde „College Bescherming Persoonsgegevens (kurz: CBP)“ verlangt darüber hinaus, dass der Vertrag bis ins Detail beschreibt, welche Maßgaben der Auftraggeber dem Auftragnehmer erteilt, welche Sicherung der Auftragnehmer anwenden muss, welche personenbezogenen Daten und zu welchem Zweck diese verarbeitet werden. Mit der Einführung des neuen Gesetzes zur Meldepflicht von Datenpannen gewinnt eine adäquate und maßgeschneiderte Erstellung von Verträgen zur Auftragsdatenverarbeitung an Wichtigkeit. 

Sicherungspflicht Wbp

Aufgrund von Artikel 13 Wbp ist der Auftraggeber verpflichtet, passende technische und organisatorische Maßnahmen zur Sicherung personenbezogener Daten gegen den Verlust oder jedwede Form einer rechtswidrigen Verarbeitung vorzunehmen (oder vornehmen zu lassen). Darüber hinaus müssen die Maßnahmen, unter Berücksichtigung des Stands der Technik und der Kosten einer solchen Ausführung sowie der Risiken, die die Verarbeitung und die Art der zu sichernden Daten mit sich bringen, ein geeignetes Sicherheitsniveau garantieren. Das CBP hat in der Richtlinie Beveiliging van Persoonsgegevens festgelegt, wann ein dauerhaftes, passendes Sicherheitsniveau gegeben ist. In der Richtlinie wird erklärt, wie das CBP bei Untersuchungen und Beurteilungen der Sicherung personenbezogener Daten in Einzelfällen diese offene Sicherheitsnorm aus dem Wbp anwendet. Dazu wurde ein sogenannter plan-do-check-act-Zyklus herausgegeben, in dem zuerst die Analyse und Beurteilung aller Risiken und anschließend die Nutzung allgemein gültiger Sicherheitsstandards empfohlen wird. Außerdem empfiehlt das CBP regelmäßige Kontrollen und Analysen. In regelmäßigen Abständen muss beurteilt werden, ob das Sicherheitsniveau noch immer zu den Risiken passt, die die Datenverarbeitung an sich und die Art der zu verarbeitenden Daten mit sich bringen. Diese Richtlinien können ferner im Zusammenhang mit allgemein gültigen Sicherheitsstandards in der Praxis der Informationssicherung angewendet werden. 

Spezielle Sicherungspflicht für elektronischen Datenaustausch unter Pflegeanbietern

Der Beschluss über den elektronischen Datenaustausch unter Pflegeanbietern stellt speziell funktionale, technische und organisatorische Anforderungen an den elektronischen Datenaustausch zwischen Pflegeanbietern. Hierzu in Kürze mehr. 

Meldepflicht 

Die Meldepflicht beinhaltet die Verpflichtung von Auftraggebern, Datenpannen beim College bescherming persoonsgegevens (CBP) melden zu müssen. In allen Fällen? Nein, nur wenn die Gefahr besteht, dass Daten verloren gehen oder rechtwidrig verarbeitet werden. Außerdem muss derjenige, den die Datenpanne betrifft (der Betroffene), informiert werden. Eine Nichterfüllung der Meldepflicht kann mit erheblichen Geldbußen durch das CBP bestraft werden. 

Die Betroffenen müssen informiert werden, wenn „ein Verstoß stattgefunden hat, der wahrscheinlich ungünstige Folgen für die Privatsphäre des Betroffenen haben wird.” Sind die Daten jedoch effektiv und mit neuesten Techniken verschlüsselt, besteht für den Auftraggeber keine Meldepflicht gegenüber dem Betroffenen. 

Erhebliche Erweiterung der Befugnisse für Geldbußen des CBP 

Nach der heutigen Gesetzgebung kann das CBP lediglich eine Geldbuße bei Verstößen gegen Verwaltungsvorschriften verhängen, beispielsweise bei Verstößen gegen die Meldepflicht einer Verarbeitung personenbezogener Daten. Die neue Gesetzgebung enthält eine Erweiterung der Befugnisse für Geldbußen des CBP. Die Bußgelder können bis zu € 810.000,= oder höchstens 10% des Jahresumsatzes betragen. Das CBP kann Bußgelder allerdings erst nach der Erteilung verbindlicher Anweisungen, und nachdem dem Auftraggeber Verbesserungsmöglichkeiten eingeräumt wurden, verhängen. Dies ist dadurch begründet, dass es mögliche Interpretationsprobleme bei Begriffen wie „geeignete technische Sicherungsmaßnahmen“ geben kann. Liegt ein vorsätzlicher Verstoß oder eine ernsthafte zurechenbare Fahrlässigkeit vor, muss das CBP keine Anweisungen erteilen. Der Auftraggeber kann allerdings Rechtsmittel gegen diese Entscheidung einlegen.

Logbuch Datenpannen 

Jede Organisation ist verpflichtet, eine Auflistung (Logbuch) über Datenpannen zu führen, die derartig schwerwiegend waren, dass sie dem CBP gemeldet werden mussten. Die Auflistung muss auf jeden Fall die Fakten und Daten bezüglich der Art des Verstoßes sowie den Text der Bekanntgabe an den Betroffenen enthalten. 

Inhalt von Meldungen 

Die Meldung beim CBP muss mindestens die folgenden Informationen enthalten:

       1. die Art des Verstoßes;

       2. die Instanzen, bei denen mehr Informationen zu dem Verstoß erhältlich sind;

       3. die zur Begrenzung der Folgen des Verstoßes empfohlenen Maßnahmen (beispielsweise das Änderung von Benutzernamen und Passwörtern);

       4. eine Beschreibung der festgestellten und vermutlichen Folgen des Verstoßes für die Verarbeitung personenbezogener Daten;

       5. die Maßnahmen, die die Organisation ergriffen hat oder vorschlägt, um diese Folgen zu beheben.

 „Autoriteit persoonsgegevens“

Mit Inkrafttreten des neuen Gesetzes wird der Name des College Bescherming Persoonsgegevens in Autoriteit Persoonsgegevens geändert

Was bedeutet dies für Unternehmen und Pflegeeinrichtungen? 

  • Notwendigkeit der Überarbeitung von Verträgen zur Auftragsdatenverarbeitung
    • Prozesse müssen den neuen Vorschriften auf dem Gebiet von Datenschutz angeglichen werden;
    • Erstellen von Richtlinien über vorzunehmende Handlungen im Falle von Datenpannen: Verfassen Sie ein Datenpannenhandbuch!
    • Protokollpflicht für Auftraggeber
    • Erstellung eines Datenpannenprotokolls
    • Art und Inhalt der Meldung
    • Betroffene müssen informiert werden
      • Sicherung muss technisch und organisatorisch einwandfrei sein;
      • medizinische Daten müssen verschlüsselt werden;
      • Aspekte in Sachen Sicherung, Datenpannen und Datenschutz müssen vorab vertraglich geregelt werden! 

Risiken, wenn nichts unternommen wird: Sie als Auftraggeber können für sämtliche sich aus einer Datenpanne ergebenden Schäden haftbar sein und darüber hinaus eine Geldbuße vom CBP erwarten. Ganz zu Schweigen von einer möglichen Rufschädigung und möglichen Klagen von Betroffenen. Handeln Sie also jetzt! 

Mirjam Elferink

Teams

 

Teilen