Meldplicht datalekken

Op 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. Er is veel publiciteit geweest rondom deze wetswijziging. De meest besproken wijziging ziet op de invoering van een meldplicht bij datalekken. De wetgever wil met de meldplicht datalekken "de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens".

De meldplicht houdt in dat organisaties, dit zijn niet alleen bedrijven en overheden maar ook instellingen zoals scholen, woningcorporaties, zorgverleners, etc., direct een melding moeten doen bij de Autoriteit Persoonsgegevens - formeel het 'College Bescherming Persoonsgegevens' - zodra zij een ernstig datalek hebben.

Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, zoals gegevens over klanten of werknemers van een onderneming. Het kan onder meer

gaan om een inbraak op het systeem door een hacker, een gestolen laptop of een kwijtgeraakte USB-stick.

Voorbeelden van ernstige datalekken die moeten worden gemeld:

• Een database met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens;
• Als gevolg van een beveiligingslek zijn persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van de organisatie door onbevoegden ingezien;
• Een medewerker verliest een laptop met niet beveiligde financiële klantgegevens.

Maatregelen nemen?!

De Autoriteit Persoonsgegevens kan een boete - die kan oplopen tot maximaal € 820.000 opleggen, bijvoorbeeld als organisaties geen melding maken van een datalek. Er dient bij een melding van een datalek niet alleen te worden gemeld om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die inbreuk heeft, maar ook welke maatregelen zijn en/of worden genomen om een datalek te voorkomen/verhelpen.

Om datalekken te voorkomen, moeten organisaties die persoonsgegevens bewaren/gebruiken volgens de Wbp maatregelen nemen om deze te beveiligen. Artikel 13 van de Wbp luidt: "De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen".

Nu bijna alle organisaties met persoonsgegevens werken, is het zaak om hier beleid op te maken.
Bent u benieuwd of uw organisatie voldoende maatregelen heeft genomen?

Voor vragen kunt u contact opnemen met een van de privacy specialisten.