Datalek? Welke stappen ondernemen na ontdekking?

0

Op 1 januari 2016 gaat de meldplicht datalekken in. Het College Bescherming Persoonsgegevens (CBP), dat vanaf 1 januari Autoriteit Persoonsgegevens zal gaan heten, heeft woensdag 9 december 2015 de Beleidsregels meldplicht datalekken gepubliceerd. Het zijn richtsnoeren om vast te stellen of sprake is van een datalek waarvan melding gemaakt moet worden.

In de Wet bescherming persoonsgegevens (Wbp) staat dat persoonsgegevens die verwerkt worden, tegen verlies en tegen onrechtmatige verwerking beveiligd moeten worden (artikel 13 Wbp). Een datalek moet onverwijld worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).

Het onderstaande schema geeft de afwegingen weer of aan de Autoriteit Persoonsgegevens en aan betrokkene gemeld moet worden (pagina 4 van de Beleidsregels).

Wat is “onverwijld” melden in de zin van artikel 34a Wbp? Dat zal per concreet geval afhangen van de omstandigheden en in de Beleidsregels is dit uitgelegd als: “zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking”.

Het is de verantwoordelijkheid van de verwerker van de persoonsgegevens om de oorzaak van het datalek op te sporen, en om maatregelen te treffen om herhaling te voorkomen. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.

Ingeschakelde bewerkers van persoonsgegevens moeten zich vanzelfsprekend ook aan de gewijzigde wetgeving houden en zorgen dat de verantwoordelijke kan voldoen aan de verplichtingen die voortvloeien uit de Wbp. Denk er daarom aan de bewerkersovereenkomst met IT (cloud) dienstverleners voor 1 januari a.s. aan te passen.

De definitieve beleidsregels van het CBP van 9 december 2015 zijn hier te downloaden: Beleidsregels

datalek

Deel via:

Over de AUTEUR

Josine Smits

Advocaat ICT & Privacy - Enthousiast / gedreven / gadgets / sportief / innovatie / voetbal / gaming / rechtvaardig / spontaan / gezellig / genieten / web winkelen / cookies / nieuwsgierig / creatief

Reageren is niet mogelijk.