CMC in het nieuws
Ontwikkelingen, wetenswaardigheden, nieuwe producten en diensten.
Home > Nieuws > Meldplicht datalekken

Meldplicht datalekken

  • Actueel
U heeft er wellicht in de nieuwsberichten iets over gelezen: datalekken. Er komt steeds meer aandacht voor en dat is niet zonder reden. 
Vanaf 1 januari 2016 zijn bedrijven en overheden verplicht binnen 72 uur een melding te doen bij Autoriteit Persoonsgegevens, wanneer er een datalek is geconstateerd. Een datalek kan ervoor zorgen dat persoonsgegevens ‘op straat’ komen te liggen en daarmee wordt de Wbp (Wet bescherming persoonsgegevens) overtreden. Er zijn ook gevallen waarbij ook gemeld moet worden bij de betrokkenen van wie de gegevens gelekt zijn. Het gaat er dan om of het lek ook persoonlijk ongunstige gevolgen zal hebben voor de betrokken persoon.
 
Maar wanneer is er sprake van een datalek? Wanneer persoonsgegevens in handen komen van derden die geen toegang tot deze gegevens zouden mogen hebben. Een datalek ontstaat na een beveiligingsprobeem. Dat betekent overigens niet dat er per definitie sprake is van een slechte beveiliging. Beveiligingsmaatregelen kunnen ook zijn omzeild. Bij een datalek kan het gaan om gelekte computerbestanden, maar ook een cyberaanval (zoals de bekende DDos aanval), gestolen laptops, verloren usb-sticks of een verkeerd verzonden e-mail.
 
Met name het lekken van persoonsgegevens van gevoelige aard zijn belangrijk om te melden bij de Autoriteit Persoonsgegevens. U kunt denken aan gegevens over:
- Bijzondere categorieën persoonsgegevens (raciale/etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, etc.);
- Gegevens over de financiële of economische situatie van de betrokkene;
- Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (gokverslaving, werk- of relatieproblemen);
- Gebruikersnamen, wachtwoorden en andere inloggegevens;
- Gegevens die kunnen worden misbruikt voor (identiteits-)fraude (Burgerservicenummer).
 
Melden van een datalek
Er zijn een aantal voorwaarden voor een melding aan de Autoriteit Persoonsgegevens:
- Er is sprake van een inbreuk op de beveiliging van persoonsgegevens. Opvallend is dat uitsluitend lekken ten gevolge van inbreuken op de beveiliging moeten worden gemeld, ook als de beveiliging summier is;
- De inbreuk doet zich voor bij een organisatie in de publieke of private sector. Denk hierbij aan bedrijven, banken, verzekeringsmaatschappijen, belastingdienst, UWV enz.;
- De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens die door de organisatie worden verwerkt. Met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens.
 
Het niet melden van een datalek is niet zonder gevolgen! De maximale boete bedraagt € 500.000,- per overtreding. 
 
Meer weten over dit thema? Klik dan hier