Met ingang van 1 januari 2016 zijn alle bedrijven en overheden die persoonsgegevens verwerken verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, beter bekend als College bescherming persoonsgegevens (CBP). Tot nu toe gold die plicht alleen voor telecommunicatiebedrijven en hostingproviders.

De meldplicht is het het gevolg van een wetswijziging die afgelopen zomer door het parlement is aangenomen. Voor bedrijven die persoonsgegevens verwerken betekent het concreet dat zij moeten voorkomen dat die data ‘verloren’ raken dan wel misbruikt worden door onbevoegden. Gebeurt dat wel, dan is een bedrijf verplicht om dat te melden op straffe van een boete.

Wat wordt er onder een datalek verstaan?
Het CBP omschrijft dat helder op de eigen website: “Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.”

Het CBP noemt de volgende voorbeelden van een datalek: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Wanneer melden?
Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.

In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Wat moet je melden?

  • de aard van de inbreuk;
  • de instanties waar meer informatie over de inbreuk kan worden verkregen;
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
  • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
  • de maatregelen die je bedrijf heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

Waar moet ik eventueel melden?
Op 1 januari komt er een formulier op de site van het CBP te staan, waar dat mogelijk is.

Hoe kan ik mijn bedrijf op deze nieuwe regels voorbereiden?

  • goed incidentenbeheer inrichten (lees: beveiliging + calamiteitenplan)
  • beslissen wie in je bedrijf datalekken gaat beoordelen en melden bij het CBP
  • denk na over hoe je klanten en leveranciers gaat informeren bij een datalek;
  • denk na over hoe je wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • controleer afspraken met je medewerkers over het verstrekken van gegevens aan derden (zowel telefonisch als digitaal).
Share on print
Share on facebook
Share on linkedin
Share on twitter

Lees ook…