Cbp publiceert definitieve beleidsregels meldplicht datalekken

Het Cbp heeft de definitieve beleidsregels voor de meldplicht datalekken gepubliceerd. Vanaf 1 januari 2016 moeten bedrijven en overheden datalekken melden aan het Cbp (vanaf 2016: de Autoriteit Persoonsgegevens) en in bepaalde gevallen ook aan de betrokkenen. Met de beleidsregels krijgen organisaties handvatten hoe de meldplicht na te leven.

Een beveiligingsincident is al snel een datalek
Als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking niet redelijkerwijs is uit te sluiten, dan ziet de toezichthouder dit als een datalek. Hieronder vallen bijvoorbeeld een verloren USB-stick, een malwarebesmetting of gegevens die door diefstal of brand verloren zijn gegaan. Vanaf het moment dat dit incident bekend is binnen de organisatie (of haar bewerker) moet zij zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking het datalek melden aan de Autoriteit Gegevensbescherming.

Melden van datalek aan de Autoriteit Gegevensbescherming?
De essentiële vraag voor het moeten melden van een datalek is of er door het datalek sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Hierbij spelen aard en omvang van de persoonsgegevens een rol. Een lek van gevoelige gegevens, zoals bijzondere persoonsgegevens, financiële gegevens, inloggegevens of gegevens met risico op fraude, moet altijd gemeld worden. Ook de hoeveelheid of het aantal betrokkenen waarvan de persoonsgegevens zijn gelekt kunnen een aanleiding zijn om te melden bij de toezichthouder. Uit de voorbeelden van de beleidsregels blijkt dat in redelijk veel gevallen sprake is van een datalek dat gemeld moet worden.

De betrokkene informeren
Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, degene van wie de gegevens gelekt zijn, moet het datalek ook aan betrokkene gemeld worden. Deze melding dient ‘onverwijld’ te gebeuren. Als gegevens voldoende beschermd zijn waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, bijvoorbeeld doordat de gegevens adequaat versleuteld zijn of als er andere beschermende maatregelen zijn genomen, dan kan melding aan de betrokkene achterwege blijven. De beleidsregels stellen echter wel allerlei eisen aan de beveiliging.

Als de Autoriteit Gegevensbescherming vindt dat een betrokkene alsnog geïnformeerd moet worden, dient dit te gebeuren, anders dreigt een boete.

Wie moet melden?
De verantwoordelijke (met vestiging in Nederland) moet de toezichthouder en de betrokkene informeren. Hij dient goede afspraken met zijn bewerker te maken om de meldplicht te kunnen naleven.

Boete
Vanaf 1 januari 2016 kan de Autoriteit Gegevensbescherming een boete tot maximaal 820.000 euro opleggen. De toezichthouder zal dit in beginsel alleen inzetten bij een opzettelijke overtreding of ernstig verwijtbaar handelen.

Wat moeten organisaties nu doen?

  • Inzicht creëren welke (gevoelige) data zich waar bevindt
  • Inrichten van incidentenbeheer
  • Beslissen wie in de organisatie datalekken gaat beoordelen
  • Nadenken hoe de betrokkene en stakeholders te informeren
  • Nadenken hoe om te gaan met signalen vanbinnen en van buiten de organisatie over een mogelijk datalek
  • Afspraken met bewerkers controleren en waar nodig aanpassen

Als u wilt weten wat de meldplicht datalekken voor uw organisatie betekent of hoe uw organisatie zich concreet moet voorbereiden op een datalek, neem dan vrijblijvend contact met ons opnemen.

Bart Pegge Managing Director / Director PA Practice

Meer weten over dit onderwerp?

pegge@considerati.com +31 (0) 644768320