Intreden meldplicht datalekken

U kunt niet stil blijven zitten. De Autoriteit Persoonsgegevens (nu het CBP) kan vanaf 1 januari 2016 bij opzettelijke overtreding of ernstig verwijtbare nalatigheid een bestuurlijke boete opleggen van maximaal 810.000 euro.

Meldplicht datalekken

Op 1 januari 2016 gaat de meldplicht datalekken van kracht. Deze regeling, vervat in de Wet bescherming persoonsgegevens (Wbp), gebiedt bedrijven, overheden en andere organisaties die persoonsgegevens verwerken om actie te ondernemen na het ontdekken van een datalek. Melden kan bij het College Bescherming Persoonsgegevens (CBP), vanaf 2016 werkzaam onder de naam Autoriteit Persoonsgegevens, via het daartoe bestemde formulier op de website. Onder omstandigheden zullen ook de betrokkenen, wier gegevens gelekt zijn, moeten worden ingelicht. De meldplicht heeft als doel het bestaande niveau van persoonsgegevensbescherming te verbeteren en is een aanvulling op de normen uit Telecommunicatiewet (Tw).

Bescherming persoonsgegevens

Beschikt uw onderneming over persoonsgegevens van anderen, zoals een klantenbestand of mailinglijst, dan bent u verplicht om passende maatregelen te nemen om deze gegevens te beschermen. Er wordt van u verwacht dat u niet meer gegevens verzamelt dan u nodig heeft, de toegang tot deze gegevens is beperkt tot geautoriseerde medewerkers en moderne beveiligingstechnieken worden ingezet om het lekken van data te voorkomen. U dient passende, technische en organisatorische maatregelen te treffen om het openbaar worden van persoonsgegevens te voorkomen.

Datalek

Van een datalek is sprake bij verlies of onrechtmatige verwerking van persoonsgegevens. Voorbeelden van datalekken zijn het kwijtraken van een USB-stick, laptop of dossier, het digitaal ontsluiten van persoonsgegevens door een hacker en het gebruiken van gegevens voor doeleinden, waarvoor zij niet verstrekt zijn. Ook bestaat er gevaar voor datalekken bij het gebruik van Amerikaanse databeheerservices als Facebook en Google Drive. Onlangs heeft het Europese Hof van Justitie (zaaknr. C-362/44) namelijk vastgesteld dat het Safe Harbor-verdrag, dat de privacy van Europese persoonsgegevens in handen van Amerikaanse organisaties waarborgt, onvoldoende adequate bescherming biedt.

Wanneer meld ik een datalek?

Niet elke datalek hoeft aan het CBP gemeld te worden. Dit is slechts het geval indien er sprake is van ernstige nadelige gevolgen of een aanzienlijke kans dat deze zullen intreden. Ten aanzien van de betrokkenen geldt er een meldplicht indien het waarschijnlijk is dat de datalek ongunstige gevolgen voor de persoonlijke levenssfeer zal hebben.

Download hier deze nieuwsflits als pdf 

Vragen?

Indien u twijfelt over het bestaan van een meldplicht in uw specifieke situatie, dan kunt u contact opnemen met Olivier van Hardenbroek  of met uw eigen contactpersoon bij Delissen Martens T +31703115411. Ook kunnen we u bijstaan bij het indienen van uw melding en het opstellen van een bestendig databeschermingsbeleid.

Deze Nieuwsflits is slechts een algemene weergave van het geldende recht. Het kan op geen enkele wijze als advies in uw specifieke situatie dienen.

Gepubliceerd op: 13 november 2015 in Privacyrecht
Vragen?
Neem contact op met Olivier (O.R.) baron van Hardenbroek van Ammerstol
Intreden meldplicht datalekken
Delen: