Het College bescherming persoonsgegevens (CBP) heeft op 21 september jl. de conceptrichtsnoeren over de nieuwe meldplicht datalekken gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de richtsnoeren. De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. De meldplicht datalekken geldt met ingang van 1 januari 2016.
Datalek
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.
Voorbeelden van datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.
Melden of niet?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.
Richtsnoeren meldplicht datalekken
De richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen. Consultatie richtsnoeren Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de richtsnoeren. Reacties op de richtsnoeren kunnen worden ingezonden via consultatiedatalekken@cbpweb.nl.
Autoriteit Persoonsgegevens
De definitieve versie van de richtsnoeren treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 810.000.
Meer informatie
Zie meldplicht datalekken voor meer informatie over de nieuwe meldplicht datalekken.