Het melden van een datalek aan de Autoriteit Persoonsgegevens

Terug naar articles

7 January, 2016

Op 1 januari 2016 is de meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) van kracht geworden. Ernstige datalekken moeten sindsdien gemeld worden bij de Autoriteit Persoonsgegevens (voorheen: het College bescherming persoonsgegevens, Cbp). In een aantal gevallen moet het datalek ook aan de betrokkenen worden gemeld.

Wat is een datalek?
Als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als onrechtmatige verwerking niet redelijkerwijs is uit te sluiten, dan ziet de toezichthouder dit als een datalek. Denk bijvoorbeeld aan een verloren USB-stick of gestolen laptop, of gegevens die door diefstal of brand verloren zijn gegaan.

Wanneer is een melding verplicht?
Een datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP) indien het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als er een aanzienlijke kans op zulke gevolgen bestaat. Bij de afweging moet de aard en de omvang van de persoonsgegevens meegenomen worden. In sommige gevallen moeten ook de betrokkenen (degenen op wie de persoonsgegevens betrekking hebben) worden geïnformeerd.

Het indienen van een melding
Vanaf het moment dat het datalek bekend is binnen de organisatie (of bij haar bewerker) moet de verantwoordelijke zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking het datalek melden aan de AP. Organisaties die een datalek willen melden bij de AP kunnen dat doen via het online meldloket datalekken.

Bij het meldloket van de AP is het mogelijk een nieuwe melding in te dienen, een bestaande melding aan te passen of een bestaande melding in te trekken. Ook aanbieders van openbare elektronische communicatiediensten moeten vanaf 1 januari 2016 een datalek melden bij het meldloket van de AP; het indienen van de melding bij de Autoriteit Consument & Markt (ACM) vervalt.

De volgende informatie moet bij het doen van een melding worden opgegeven:

  • Toepasselijk wettelijk kader van de melding (Wbp of Telecommunicatiewet)
  • Algemene informatie en contactpersoon
  • Gegevens over het datalek (o.a. samenvatting van het incident, heeft de inbreuk bij de verwerker plaatsgevonden, aantal betrokkenen, datum van de inbreuk, aard van de inbreuk (diefstal, lezen, kopiëren, etc.), type persoonsgegevens, vermeende gevolgen van de inbreuk)
  • Vervolgacties naar aanleiding van het datalek (o.a. genomen maatregelen, of het eventueel op de hoogte brengen van de betrokkenen is gebeurd en zo ja, wat de inhoud en manier van melden aan betrokkenen is)
  • Technische beschermingsmaatregelen (versleuteling, hashing)
  • Internationale aspecten

Nalaten een melding te doen
De Autoriteit Persoonsgegevens heeft bepaald dat het voor het niet melden van een datalek de AP een boete kan opleggen van in beginsel maximaal 500.000 euro.

Voorkom datalekken
Het voorkomen en melden van datalekken en het eventueel informeren van betrokkenen vergt tijd en kennis. Wilt u weten hoe wij u hiermee kunnen helpen, neem dan vrijblijvend contact op met Considerati.

,

Iris Tasevski

Juridisch Adviseur

Gerelateerde blogs

Richtingbepalend technologisch beleid | Considerati

Het EU-VS Privacy Shield: een kort overzicht

Een maand na de bekendmaking van het politiek akkoord over het EU-VS Privacy Shield is het raamwerk...

Lees meer

Algemene Verordening Gegevensbescherming | Considerati

De Algemene Verordening Gegevensbescherming: de rol van de bewerker

De aankomende Algemene Verordening Gegevensbescherming (AVG) is één van de meest veelbesproken...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.