meldplicht-datalekken Meldplicht datalekken | Driekleur Zakelijk

Wetswijziging: Meldplicht datalekken

Sinds 1 januari 2016 zijn alle bedrijven en overheden die persoonsgegevens verwerken verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking.

Voorbeelden van datalekken

Voorbeelden van datalekken zijn het verlies van een USB-stick waarop persoonsgegevens staan, het onbedoeld delen van persoonsgegevens of een hack waarbij persoonsgegevens buit gemaakt worden. Ook het (per ongeluk) verwijderen van persoonsgegevens of verlies daarvan door schade (zoals brand) waarbij geen back-up beschikbaar is, worden gezien als datalekken.

Melden of niet?

Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer. Wanneer een datalek ten onrechte niet gemeld wordt, kan er door de Autoriteit Persoonsgegevens een maximale boete van € 820.000,- opgelegd worden.

Bekijk de brochure

Google+ Google+ deze pagina
LinkedIN Deel dit op LinkedIN