Meldplicht datalekken van kracht

Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) van kracht. De meest besproken wijziging van deze wet heeft betrekking op de invoering van de meldplicht bij datalekken. Met het in werking treden van deze wet wordt de Privacywetgeving steeds belangrijker.

Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

Datalekken

Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.

Voorbeelden van datalekken zijn:

  • een kwijtgeraakte USB-stick;
  • een gestolen laptop;
  • een inbraak door een hacker;
  • verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden;
  • een malware-besmetting;
  • een calamiteit zoals een brand in een datacentrum.

Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking zonder kans dat een derde de data in handen heeft gekregen.

Interview 1-op-1 communicatie “Wij ademen data”

Wij ademen data

Melden of niet?

Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit  “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen van wie de persoonsgegevens zijn verwerkt. Zij moeten worden geïnformeerd als een datalek  “waarschijnlijk ongunstige gevolgen zal hebben”  voor hun persoonlijke levenssfeer. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 820.000.
Heeft u vragen over de beleidsregels meldplicht datalekken? Raadpleeg dan de site: meldplicht datalekken