CBP presenteert concept Richtsnoeren Meldplicht Datalekken

Terug naar articles

30 september, 2015

Op 1 januari 2016 treedt de ‘Wet meldplicht datalekken en uitbreiding boetebevoegdheid’, kortweg ‘Meldplicht Datalekken’ in werking. Deze meldplicht verplicht bedrijven, overheden en andere organisaties om bij een datalek bij de Autoriteit Persoonsgegevens (tot 1 januari 2016 het College Bescherming Persoonsgegevens) te melden. In bepaalde gevallen moet ook de betrokkene worden ingelicht over een datalek. Betrokkenen zijn de mensen van wie de persoonsgegevens zijn gelekt.


Datalek
Een datalek kan zich voordoen wanneer een incident in de beveiliging plaatsvindt en hierdoor de bescherming van persoonsgegevens op enig moment is doorbroken. Er is daadwerkelijk sprake van een datalek wanneer als gevolg van de inbreuk informatie over personen vrijkomt (via een ‘lek’) of (niet kan worden uitgesloten dat) persoonsgegevens onrechtmatig worden verwerkt. Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens (AP) wanneer sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

Datalekken kunnen op verschillende manieren ontstaan: een hacker kan zich toegang verschaffen tot computerbestanden, maar ook een gestolen USB met daarop een lijst met gegevens van klanten kan een datalek vormen. Ook kan sprake zijn van geen of onvoldoende beveiliging, waardoor persoonsgegevens door onbevoegden benaderd zijn.

Wanneer een datalek geconstateerd is, moet een organisatie zelf de aard en de omvang van het datalek bepalen en vaststellen welke gevolgen het datalek voor de persoonlijke levenssfeer van de betrokkenen heeft. De organisatie dient zelf af te wegen of het datalek binnen de criteria valt voor een verplichte melding van een datalek aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen. Wanneer het datalek binnen de meldingscriteria valt, is de organisaties bij wet verplicht om binnen twee dagen na constatering van het datalek hiervan melding te maken bij de Autoriteit Persoonsgegevens (AP) .

Sanctie
Bij inbreuk op de Wet bescherming persoonsgegevens , waar de meldplicht onderdeel van uitmaakt, kan de AP een bindende aanwijzing geven of bij ernstige nalatigheid een boete opleggen van maximaal € 810.000 of 10% van de omzet van een organisatie, afhankelijk van welke van de twee hoger is. De AP is vrij om te bepalen of het een vast bedrag of een percentage van de omzet kiest als strafmaat.

Consultatie Richtsnoeren
Afgelopen week heeft het CBP de meldplicht datalekken verduidelijkt door concept Richtsnoeren te publiceren. Aan de hand van deze Richtsnoeren kunnen organisaties zelf een beredeneerde afweging maken of sprake is van een datalek en of dit datalek onder de wettelijke meldplicht aan de Autoriteit Persoonsgegevens (AP) en de betrokkene valt.

Belanghebbenden kunnen tot en met 19 oktober 2015 bij het (nu nog) College Bescherming Persoonsgegevens reageren op de conceptversie van de Richtsnoeren. Bij het vaststellen van de definitieve versie zal rekening worden gehouden met deze reacties.

Wilt u weten wat deze meldplicht voor uw organisatie gaat betekenen of wilt u advies over hoe naar het CBP te reageren met vragen of suggesties over de Richtsnoeren Meldplicht Datalekken? Neemt u dan vrijblijvend contact op met een van onze privacy experts.

, ,

Gerelateerde blogs

PrivacyPerfect op Cyber Security Week 2015

In het kader van de Cyber Security Week 2015 wordt in het grootste veiligheidscluster van Europa,...

Lees meer

Wat-zijn-cookies-Considerati

De governance structuur verandert, de EDPS bijft

De AVG leidt tot een aanzienlijke verandering in de governance structuur voor de bescherming van...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.