Meldplicht datalekken: wat moet u weten?

Sinds 1 januari 2016 geldt de meldplicht datalekken. Dit houdt in dat overheden en ondernemers direct een melding moeten doen bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens) als zich een ernstig datalek voordoet. In sommige gevallen moet het datalek ook aan de betrokkenen gemeld worden. De nieuwe regelgeving heeft consequenties voor elke onderneming die persoonsgegevens verwerkt.

Portretfoto van Patrice Hoogeveen
geschreven door:
Patrice Hoogeveen Jurist ondernemingsrecht
kantoorpand

Per 1 januari 2016 is daarnaast ook de boetebevoegdheid van de Autoriteit Persoonsgegevens flink uitbreid. Bij overtreding van de Wet Bescherming Persoonsgegevens (Wbp) kunnen hoge boetes worden opgelegd.

Onderstaande vragen en antwoorden geven u meer informatie over de meldplicht en hoe u deze kunt naleven. 

Wanneer is sprake van een datalek?

We spreken van een datalek als bij een beveiligingsincident, zoals het kwijtraken van informatiedragers (denk aan usb-sticks en cd-roms), diefstal van hardware of inbraken in uw computersysteem (hacken), persoonsgegevens verloren zijn gegaan of deze onrechtmatig zijn verwerkt.

Wanneer moet ik een datalek melden?

Niet ieder datalek hoeft bij de Autoriteit Persoonsgegevens te worden gemeld. Alleen als er sprake is van een kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is het doen van een melding verplicht. Hiervan is in elk geval sprake als het gaat om persoonsgegevens van bijzondere aard, zoals gegevens met betrekking tot godsdienst, ras, politieke overtuiging, seksuele geaardheid, prestaties op school en werk, financiën en – uiteraard – gebruikersnamen en/of wachtwoorden. Ook de hoeveelheid gelekte gegevens of het aantal betrokken personen is van belang. 

Het melden van een datalek aan de Autoriteit Persoonsgegevens heeft niet altijd tot gevolg dat ook de betrokken personen moeten worden geïnformeerd. Dit is alleen verplicht als het datalek naar verwachting ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokken personen. Bijvoorbeeld bij onrechtmatige publicatie, aantasting van eer en/of goede naam, identiteitsfraude, discriminatie of potentiële financiële schade.

Hoe kan ik de meldplicht datalekken naleven?

Bent u als ondernemer zelf verantwoordelijk voor de verwerking van persoonsgegevens, dan kunt u waarschijnlijk op basis van bovenstaande informatie een goede inschatting maken of u een datalek wel of niet moet melden. Veel ondernemingen maken echter voor het verwerken van persoonsgegevens gebruik van diensten van een externe partij (in de wetgeving ‘bewerker’ genoemd). U kunt denken aan aanbieders van cloud-diensten en externe hosting. Doorgaans worden afspraken tussen een bewerker en de onderneming vastgelegd in een zogenaamde bewerkersovereenkomst.

Als ondernemer bent en blijft u echter zelf verantwoordelijk voor de naleving van de Wet bescherming persoonsgegevens en dus het doen van een melding als zich een datalek voordoet. De bewerker moet in elk geval de instructies van de onderneming opvolgen en een werkwijze hanteren die toeziet op deugdelijke verwerking van de gegevens.

Waarom een bewerkersovereenkomst?

In een bewerkersovereenkomst zijn heldere afspraken opgenomen met betrekking tot de meldplicht datalekken. In de overeenkomst moet in ieder geval staan dat de bewerker u informeert over alle relevante incidenten en dat dit tijdig gebeurt, dat u op de hoogte wordt gehouden van ontwikkelingen rond het incident en van de maatregelen die de bewerker treft om het incident te beperken en herhaling te voorkomen. Ook moet aangegeven worden of de bewerker ook zelf meldingen doet bij de Autoriteit Persoonsgegevens.

Ontbreekt een of meer van de genoemde punten in uw bewerkersovereenkomst dan is het aan te bevelen de bewerkersovereenkomst te wijzigen of aan te passen.

 

Wilt u meer weten over de meldplicht datalekken? Onze specialist helpt u graag verder!

Mail Patrice
Portretfoto van Patrice Hoogeveen
Jurist ondernemingsrecht
Bel
013-4647197
Aanmelden e-mailnieuwsbrief

Aanmelden nieuwsbrief

Blijf op de hoogte van het laatste nieuws en ontwikkelingen via onze maandelijkse e-mailnieuwsbrief
Meld u direct aan