De nieuwe Meldplicht Datalekken - Beware and prepare

14 jan '16

Op 1 januari 2016 is de algemene Meldplicht Datalekken in werking getreden. U moet daardoor bepaalde beveiligingsincidenten in uw organisatie bij de toezichthouder melden. Er is sprake van een datalek als er daadwerkelijk persoonsgegevens (zoals klantgegevens of werknemersgegevens) verloren zijn gegaan of in handen van onbevoegden zijn gekomen door een zogenaamd beveiligingsincident. Daarvan is bijvoorbeeld sprake als een medewerker een USB-stick met klantgegevens heeft verloren, als er een malware-besmetting van uw computersysteem is of als uw systeem is gehackt. Een datalek kan zich overigens ook voordoen als u op zich voldoende beveiligingsmaatregelen tegen een lek heeft genomen.

Niet ieder datalek hoeft gemeld te worden. Dat moet alleen als er gegevens van gevoelige aard zijn gelekt (zoals gezondheidsgegevens, inloggegevens en onversleutelde financiële klantgegevens). Of als er een grote hoeveelheid minder gevoelige persoonsgegevens is gelekt of gegevens met informatie over heel veel personen. U moet dit zo mogelijk binnen 72 uur na de ontdekking melden aan de Autoriteit Persoonsgegevens (AP). Dat kan via het Meldloket Autoriteit Persoonsgegevens op de website van de AP. Als er op dat moment nog onvoldoende duidelijk is of er daadwerkelijk een meldplicht bestaat, moet u toch melden. Als later blijkt dat er toch geen meldplicht bestond, kunt u de melding weer intrekken. Het meldingenregister is overigens niet openbaar.

In veel gevallen moet het datalek ook gemeld worden aan de betrokkenen van wie de persoonsgegevens zijn gelekt. U moet de betrokkenen zo mogelijk per e-mail of per brief informeren en u moet daarbij ook informatie geven over de maatregelen die de betrokkenen kunnen nemen om de gevolgen van het datalek te beperken. De betrokkenen hoeven niet geïnformeerd te worden als u voldoende technische maatregelen heeft genomen om de persoonsgegevens te beschermen (zoals encryptie of een geslaagde remote wiping van de gegevens) of als er zeer zwaarwegende redenen zijn tegen het informeren van de betrokkenen (bijvoorbeeld bij een lek tijdens een overnametraject van een beursgenoteerde onderneming).

De meldplicht van een datalek bestaat ook als het datalek zich voordoet bij een partij die persoonsgegevens voor u verwerkt, zoals een cloudprovider. U moet met die partijen dus goede afspraken maken over de procedure ingeval van een datalek bij de provider. De provider mag in beginsel een datalek namens u melden, maar het is verstandig om daar wel nauw bij betrokken te zijn. Uiteindelijk bent u zelf verantwoordelijk voor het melden van een lek van uw persoonsgegevens, ook als die gegevens bij uw provider zijn gelekt.

Als u de meldplicht niet (goed) nakomt kan de AP een boete opleggen die kan oplopen tot EUR 820.000 of 10% van de jaaromzet. Dat kan de AP alleen doen als zij eerst een bindende aanwijzing heeft gedaan die u niet heeft opgevolgd. Alleen als u opzettelijk niet heeft gemeld of als u ernstig verwijtbaar heeft gehandeld, kan de AP de boete direct opleggen. Het is dus zaak om een aantal maatregelen te nemen om te kunnen voldoen aan de meldplicht, zoals het intern vastleggen van een procedure voor het melden van een datalek en het regelen van een meldingsprocedure met providers. Wij kunnen u daarover uiteraard adviseren.

Deel dit artikel

Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoons­gegevens gebruiken, kunt u lezen in onze privacyverklaring. U kunt uw voorkeuren altijd wijzigen via de link ‘Profiel wijzigen' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

{phrase:advantage_3}

{phrase:advantage_4}


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.