De IBD factsheet over de Meldplicht Datalekken is bijgewerkt. Alle bedrijven en overheden die persoonsgegevens verwerken zijn al sinds 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Tot nu toe was dat een verplichting die voortvloeide uit de Meldplicht Datalekken. Vanaf 25 mei 2018 is de AVG van kracht, in deze wet is de meldplicht integraal opgenomen. Deze factsheet biedt achtergrondinformatie over de Meldplicht Datalekken onder de nieuwe wetgeving en geeft onder andere antwoord op vragen als ‘Wat houdt de Meldplicht Datalekken in?’, ‘Wat is een datalek en wanneer moet ik melding doen?’ en ‘Wie is aansprakelijk?’.
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde, maar er zijn een aantal wijzigingen:
- Datalekken hoeven niet meer bij de autoriteit gemeld te worden als het onwaarschijnlijk is dat een incident nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen.
- Elk (vermoeden van een) datalek moet in een datalekkenregister worden opgenomen.
- Datalekken hoeven alleen nog aan betrokkenen gemeld te worden als er sprake is van een hoog risico op een inbreuk op de persoonlijke levenssfeer, voorheen was dit bij elk risico.
- De maximale boetes bij het niet naleven van de AVG zijn een stuk hoger dan onder de oude wetgeving. Ze kunnen nu gemakkelijker opgelegd worden door de toezichthouder.
- Een datalek zal dus minder vaak meldplichtig zijn maar moet wel nog altijd door de verantwoordelijke worden opgenomen in het eigen datalekkenregister.
- De praktijk zal nog moeten uitwijzen wanneer er precies sprake is van een hoog risico, dit zal de verantwoordelijke bij ieder datalek zelf moeten inschatten. Hierbij moeten de gevoeligheid van de gegevens en de kans op nadelige gevolgen voor betrokkenen beide worden meegenomen in de afweging.
U kunt de factsheet downloaden via deze link. Neem voor meer informatie contact op met de IBD via info@IBDgemeenten.nl.