Vanaf 1 januari 2016 geldt een meldplicht voor datalekken

05 januari 2016

Vanaf 1 januari 2016 geldt een meldplicht voor datalekken

 

Als (online) ondernemer krijg je vroeg of laat te maken met de verwerking van persoonsgegevens. Namen, IP-adressen of foto’s – allemaal zijn ze direct of indirect terug te leiden naar mensen van vlees en bloed. Om persoonsgegevens te beschermen moet je passende maatregelen nemen tegen verlies van deze gegevens of misbruik ervan door derden.

 

Op 1 januari 2016 is voor organisaties (bedrijven én overheden) de ‘meldplicht datalekken’ ingegaan. Deze organisaties moeten een lek binnen drie dagen melden bij de Autoriteit Persoonsgegevens (voorheen het CPB – College Bescherming Persoonsgegevens) zodra zij een ernstig datalek hebben: onbevoegde toegang tot persoonsgegevens, vernietiging of wijziging.

Zijn de persoonsgegevens – ondanks de nodige maatregelen – gestolen, kwijt of onbevoegd verspreid? Dan is er sprake van een datalek.

De waakhond voor naleving van privacywetgeving mag vanaf die datum boetes uitdelen ingeval van nalatigheid. Tot € 810.000 of 10% van de jaaromzet van de overtreder...

 


Passende technische en organisatorische maatregelen

De eerste stap bij de verwerking van persoonsgegevens is toestemming verkrijgen van de personen van wie je gegevens verwerkt. Als ondernemer moet je zorgen voor de beveiliging van deze gegevens. Met een beveiligde opslag van de persoonsgegevens en toegang daartoe met een beveiligde verbinding.

Op het gebied van organisatorische maatregelen kun je denken aan alles dat voorkomt je dat persoonsgegevens door je kantoor slingeren of op een andere manier makkelijk toegankelijk zijn voor onbevoegden.

 


Wanneer meldplicht voor datalekken?

Als er persoonsgegevens kwijt zijn of als er onbevoegde derden bij de gegevens kunnen. Waarbij een vermoeden al voldoende is. Als je een harde schijf met persoonsgegevens kwijt bent door bijvoorbeeld diefstal of brand dan is er sprake van een datalek en moet je dit melden. Ook als er een back-up is. Is de drager van de gegevens geheel vernietigd en heb je nog een back-up dan heb je geen meldplicht.

 


Bij wie melden?

Per 1 januari 2016 moet een datalek niet alleen gemeld worden bij de Autoriteit Persoonsgegevens maar ook bij de betrokken personen. Officieel moet je de betrokkene alleen informeren als het datalek gevolgen heeft voor zijn of haar privacy. Maar wanneer heeft een datalek geen gevolgen voor de privacy van betrokkenen?

 

Er is voorlopig één ‘harde’ uitzondering op deze meldplicht aan de betrokkene. Namelijk als alle ‘verloren’ persoonsgegevens goed zijn beveiligd (versleuteld) en de Autoriteit Persoonsgegevens (AP) dat ook vindt. Vraag het even na als je het datalek bij de AP meldt.



Hoe snel moet je datalekken melden?

Je moet binnen 2 werkdagen het datalek melden. Deze termijn gaat lopen vanaf het moment dat jij, of bijvoorbeeld een andere partij die je inschakelt voor de verwerking van persoonsgegevens (de ‘bewerker’), het lek vindt.

Daarnaast moet je datalekken intern bijhouden voor een periode van 3 jaar.


 

Wat moet je melden bij een datalek?

Het CBP komt met een lange lijst die je moet invullen bij een datalek. Zo willen ze weten om welke gegevens het gaat, hoeveel gedupeerden er mogelijk zijn, wat voor technische en organisatorische maatregelen je hebt genomen en wat je kan doen om een lek in de toekomst te voorkomen. En dus in sommige gevallen de betrokkenen informeren om te melden wat zij kunnen doen om het risico op schade te beperken.

 

 

Bron: legalloyd.com

 

 

Terug Schrijf reactie

^ Naar boven