14 jan '16
Op 1 januari 2016 is de algemene Meldplicht Datalekken in werking getreden. U moet daardoor bepaalde beveiligingsincidenten in uw organisatie bij de toezichthouder melden. Er is sprake van een datalek als er daadwerkelijk persoonsgegevens (zoals klantgegevens of werknemersgegevens) verloren zijn gegaan of in handen van onbevoegden zijn gekomen door een zogenaamd beveiligingsincident. Daarvan is bijvoorbeeld sprake als een medewerker een USB-stick met klantgegevens heeft verloren, als er een malware-besmetting van uw computersysteem is of als uw systeem is gehackt. Een datalek kan zich overigens ook voordoen als u op zich voldoende beveiligingsmaatregelen tegen een lek heeft genomen.
Niet ieder datalek hoeft gemeld te worden. Dat moet alleen als er gegevens van gevoelige aard zijn gelekt (zoals gezondheidsgegevens, inloggegevens en onversleutelde financiële klantgegevens). Of als er een grote hoeveelheid minder gevoelige persoonsgegevens is gelekt of gegevens met informatie over heel veel personen. U moet dit zo mogelijk binnen 72 uur na de ontdekking melden aan de Autoriteit Persoonsgegevens (AP). Dat kan via het Meldloket Autoriteit Persoonsgegevens op de website van de AP. Als er op dat moment nog onvoldoende duidelijk is of er daadwerkelijk een meldplicht bestaat, moet u toch melden. Als later blijkt dat er toch geen meldplicht bestond, kunt u de melding weer intrekken. Het meldingenregister is overigens niet openbaar.
In veel gevallen moet het datalek ook gemeld worden aan de betrokkenen van wie de persoonsgegevens zijn gelekt. U moet de betrokkenen zo mogelijk per e-mail of per brief informeren en u moet daarbij ook informatie geven over de maatregelen die de betrokkenen kunnen nemen om de gevolgen van het datalek te beperken. De betrokkenen hoeven niet geïnformeerd te worden als u voldoende technische maatregelen heeft genomen om de persoonsgegevens te beschermen (zoals encryptie of een geslaagde remote wiping van de gegevens) of als er zeer zwaarwegende redenen zijn tegen het informeren van de betrokkenen (bijvoorbeeld bij een lek tijdens een overnametraject van een beursgenoteerde onderneming).
De meldplicht van een datalek bestaat ook als het datalek zich voordoet bij een partij die persoonsgegevens voor u verwerkt, zoals een cloudprovider. U moet met die partijen dus goede afspraken maken over de procedure ingeval van een datalek bij de provider. De provider mag in beginsel een datalek namens u melden, maar het is verstandig om daar wel nauw bij betrokken te zijn. Uiteindelijk bent u zelf verantwoordelijk voor het melden van een lek van uw persoonsgegevens, ook als die gegevens bij uw provider zijn gelekt.
Als u de meldplicht niet (goed) nakomt kan de AP een boete opleggen die kan oplopen tot EUR 820.000 of 10% van de jaaromzet. Dat kan de AP alleen doen als zij eerst een bindende aanwijzing heeft gedaan die u niet heeft opgevolgd. Alleen als u opzettelijk niet heeft gemeld of als u ernstig verwijtbaar heeft gehandeld, kan de AP de boete direct opleggen. Het is dus zaak om een aantal maatregelen te nemen om te kunnen voldoen aan de meldplicht, zoals het intern vastleggen van een procedure voor het melden van een datalek en het regelen van een meldingsprocedure met providers. Wij kunnen u daarover uiteraard adviseren.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.