CBP publiceert Beleidsregels meldplicht datalekken

donderdag, 10 december 2015

Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd. Het CBP heeft deze week de definitieve beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd. De beleidsregels helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. 

Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Recent kwamen er datalekken in het nieuws over een speelgoedfabrikant waarbij gegevens van meer dan 100.000 Nederlandse kinderen waren gestolen, een Amerikaanse datingsite waarvan de klantgegevens op straat lagen en een ziekenhuis waar medische dossiers waren gelekt.

Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 820.000.

(Bron: www.cbpweb.nl)

Link: https://www.cbpweb.nl/nl/nieuws/cbp-publiceert-beleidsregels-meldplicht-datalekken