Het College bescherming persoonsgegevens (CBP) heeft de regels voor de 'Meldplicht datalekken' gepubliceerd,
De nieuwe regels zijn vanaf 1 januari 2016 van kracht. Organisaties zijn dan verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens, de nieuwe naam van het CBP.
Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. "De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen", zegt CBP-voorzitter Jacob Kohnstamm
Datalek
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Recent kwamen er datalekken in het nieuws over een speelgoedfabrikant waarbij gegevens van meer dan 100.000 Nederlandse kinderen waren gestolen, een Amerikaanse datingsite waarvan de klantgegevens op straat lagen en een ziekenhuis waar medische dossiers waren gelekt.
Wanneer melden?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer.
Boete
De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 820.000