Blog

Blog

Onze Blogcategorieën:

Meldplicht bij datalekken, waar moet u op letten?

Donderdag 05 november 2015

Op 1 januari 2016 zal de 'Wet meldplicht datalekken en uitbreiding boetebevoegdheid' in werking treden. Op straffe van hoge boetes (maximaal € 810.000 of 10% van de omzet van een organisatie) verplicht deze wet organisaties datalekken te melden aan de Autoriteit Persoonsgegevens (tot 1 januari het College Bescherming Persoonsgegevens; "CBP").

De Wet bescherming persoonsgegevens (Wbp)

Met inwerkingtreding van de nieuwe wet wordt de Wbp op een aantal punten gewijzigd. De Wbp bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken door organisaties en bedrijven. Onder verwerking wordt elke handeling met betrekking tot persoonsgegevens bedoeld, zoals o.a. het verzamelen, vastleggen, bewaren, bijwerken, raadplegen en het verspreiden. Een persoonsgegeven is elk gegeven over een geïdentificeerde of identificeerbare natuurlijk persoon.

De Wbp bepaalt onder meer dat diegene die verantwoordelijk is voor de verwerking kan worden aangesproken als iemand schade lijdt doordat de Wbp niet wordt nageleefd. Door de wetswijziging mag het CBP nu dus ook een (hoge) boete opleggen als een datalek door de verantwoordelijke niet (tijdig) bij haar wordt gemeld.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is dus het gevolg van een beveiligingsprobleem waardoor de bescherming van persoonsgegevens op enig moment is doorbroken. Voorbeelden van een datalek zijn: een kwijtgeraakte USB-stick, een gestolen laptop en een gehackt bestand met e-mailadressen en inloggegevens. Alleen als redelijkerwijs uitgesloten kan worden dat persoonsgegevens verloren zijn gegaan of door onbevoegden zijn ingezien, is van een datalek geen sprake.

Wanneer moet een datalek gemeld worden aan het CBP?

De nieuwe wet bepaalt dat een datalek gemeld moet worden bij het CBP als sprake is van een inbreuk op de beveiliging van persoonsgegevens, waarbij de inbreuk zich voordoet bij een organisatie in de publieke of private sector (bedrijven, banken, verzekeringsmaatschappijen, belastingdienst, UWV enz.) en de inbreuk leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

Bij de afweging of de melplicht geldt, moet worden gekeken naar de aard van de gegevens en de aard en omvang van de inbreuk. Het CBP hanteert daarbij het begrip "gevoelige gegevens" en bepaalt dat de volgende categorieën persoonsgegevens hier in ieder geval onder vallen:

  • Bijzondere persoonsgegevens, bijv. godsdienst, levensovertuiging, ras;
  • Persoonsgegevens over de financiële of economische situatie, bijv. schulden, salaris, betalingsgegevens;
  • Persoonsgegevens die kunnen leiden tot stigmatisering of uitsluiting, bijv. gokverslaving, prestaties op school of werk, relatieproblemen;
  • Gebruikersnaam, wachtwoorden en andere inloggegevens;
  • Persoonsgegevens die gebruikt kunnen worden voor (identiteits-)fraude, bijv. biometrische gegevens, kopieën van identiteitsbewijzen.

Melden moet ‘onverwijld, dat wil zeggen: uiterlijk op de tweede werkdag na ontdekking van het incident. Soms is een melding bij alleen het CBP niet voldoende en moet het datalek ook gemeld worden aan de betrokkene, dus de persoon van wie de persoonsgegevens zijn gelekt.

Lees ook: Werken in de Cloud: maakt u nog wel eens een back-up?

Robert Vredeveldt

Plaats een reactie

Meld u aan voor de OOvB nieuwsbrief