Meldplicht

Meldplicht Datalekken

Sinds 1 januari 2016 geldt de Meldplicht Datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Bij een datalek gaat het om toegang of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatig verwerken van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking - dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Melden bij de AP: Wie, Wanneer en Hoe?

Wie? - De verantwoordelijke, u als ondernemer.
Wanneer? - Indoen mogelijk, binnen 72 uur na ontdekking.
Hoe? - Meldloket bij AP.
En verder? - Interne procedures en bewerkersovereenkomst(en) aanpassen.
Heel veel informatie hierover is te vinden op de website van de Autoriteit Persoonsgegevens
Wat moet u melden?
'Inbreuk op de beveiliging' = datalek als bedoeld in artikel 13 Wbp, voorbeelden hiervan zijn:

een kwijtgeraakte USB-stick.

een gestolen laptop.

een inbraak door een hacker.

een malware-besmetting.

een calamiteit zoals een brand in een datacentrum.

verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden.
Handhaving: Sancties en Boetes
Er werden in het verleden al boetes opgelegd door de Autoriteit Persoonsgegevens (AP, voorheen College Bescherming Persoonsgegevens, CBP), op basis van de Wet bescherming persoonsgegevens (WBP)(2001), deze zagen er voorheen als volgt uit:

€ 4.500,00 boete voor het niet melden waar dat had gemoeten

Nu de Wpb is gewijzigd en aangescherpt per 1 januari 2016 zijn de boetes en sancties behoorlijk verzwaard:

Maximaal € 820.000,00 boete (of als dat hoger is 10% van de jaaromzet) voor overtreding van de Wbp (per 1 juli 2016).

Boete beleidsregels.

Bindende aanwijzing, tenzij opzet of ernstige verwijtbare nalatigheid.

Data beveiliging

ICT dienstverlening

Over ICT-BehnCon