Wet meldplicht datalekken

Vanaf 1 januari 2016 geldt de wet meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een (ernstig) datalek ontdekken, dit is ook vastgelegd in de Wet bescherming persoonsgegevens (Wbp). In bepaalde gevallen zijn deze organisaties ook verplicht het datalek te melden aan de directe betrokkenen van wie persoonsgegevens zijn gelekt, een datalek kan namelijk negatieve gevolgen voor deze betrokkene(n). Het is daarom belangrijk maatregelen te treffen om deze datalekken zoveel mogelijk te voorkomen. Het melden van een datalek kunnen organisaties doen via het meldloket datalekken van de Autoriteit Persoonsgegevens.

Voorbeelden

Als we spreken van een datalek, dan gaat het vaak om toegang tot of vrijkomen van persoonsgegevens van een organisatie, zonder dat de desbetreffende organisatie hier iets van weet. Bijvoorbeeld door een kwijtgeraakte USB-stick met gevoelige informatie, of een gestolen computer na inbraak. Het gaat hier niet alleen om het toegang verkrijgen tot de persoonsgegevens, maar ook om onrechtmatige verwerking van deze gegevens, bijvoorbeeld door vernietiging of wijziging.

Eventuele boetes

Niet ieder datalek hoeft te worden gemeld, alleen wanneer er sprake is van een grote kans op nadelige gevolgen voor de bescherming van persoonsgegevens van de betrokkenen dan moet dit worden gemeld. Wanneer u hierin de regels van de wet meldplicht datalekken overtreed, kan er een boete volgen. Deze boete bedraagt maximaal €820.000,-. Het is hierbij wel afhankelijk van de situatie welk bedrag er betaald moet gaan worden, de boete kan dus lager uitvallen als om een niet opzettelijk gepleegd feit gaat. Of wanneer er geen sprake is van ernstige nalatigheid die aan uw organisatie te verwijten valt. Het is daarom belangrijk om binnen uw organisatie afspraken te maken over eventuele maatregelen om deze gegevens nog beter te beschermen. Deze afspraken moeten worden vastgelegd in een bewerkersovereenkomt, zo kunt u eventuele toekomstige boetes in de meeste gevallen voorkomen.

https://www.lawfox.nl/ictrecht/meldplicht-datalekken/