Wet Meldplicht Datalekken
Op 1 januari 2016 treedt de nieuwe Wet Meldplicht Datalekken in werking. Met de inwerkingtreding van de nieuwe wet zal de naam van het College Bescherming Persoonsgegevens (CBP) worden veranderd in Autoriteit Persoonsgegevens (AP).
Meldplicht Datalekken
Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Wat is een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot deze gegevens zouden mogen hebben of wanneer er persoonsgegevens zijn verloren.
Voorbeelden waarbij sprake kan zijn van een datalek:
- een gestolen laptop
- een kwijtgeraakte USB-stick met persoonsgegevens
- brand in het datacentrum waarbij geen back-up meer aanwezig is
- inbraak door een hacker
- een e-mail versturen waarbij alle ontvangers in de “Aan” of “CC” zijn vermeld (een veel voorkomende fout trouwens)
- mogelijk zelfs verkeerd geadresseerde post
Wanneer moet u een datalek melden bij de Autoriteit Persoonsgegevens ?
Hierbij moet u zichzelf de volgende vraag stellen: “is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens?”
Zijn er persoonsgegevens van gevoelige aard gelekt?
Bij persoonsgegevens van gevoelige aard kan je denken aan:
- Gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven,
lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een
opgelegd verbod naar aanleiding van dat gedrag. - Gegevens over de financiële of economische situatie van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris en betalingsgegevens. - (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. - Gebruikersnamen, wachtwoorden en andere inloggegevens
De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. En dat sommige mensen
gebruikersnaam en/of wachtwoorden hergebruiken voor verschillende verwerkingen. - Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer.
Hoe snel moet ik melding doen bij een datalek?
U moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar.
Meer lezen over Beleidsregels meldplicht datalekken
Heb je vragen rondom de beveiliging van je website of wil je weten of je website wel goed beveiligd is? Neem dan contact met ons op.
Nog geen reacties