Meldplicht datalekken en uitbreiding boetebevoegdheid
Sinds 1 januari 2016 is de meldplicht datalekken (Wet bescherming persoonsgegevens) van kracht.
Alle datalekken moeten per 1 januari gemeld worden bij de Autoriteit Persoonsgegevens (AP). Bedrijven moeten mogelijk ook de betrokkenen informeren over dit lek.
Wat verstaan we onder een datalek?
Als er bij een incident persoonsgegevens verloren zijn gegaan of enige vorm van onrechtmatige verwerking niet is uit te sluiten. Verlies houdt in dat u de gegevens niet meer heeft, omdat deze zijn vernietigd of op een andere manier verloren zijn gegaan. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. Beide worden gezien als een datalek.
Enkele voorbeelden:
- een kwijtgeraakte USB-stick;
- een gestolen laptop;
- een inbraak door een hacker;
- verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn
- voor alle andere geadresseerden;
- een malware-besmetting;
- een calamiteit zoals een brand in een datacentrum.
Wanneer is een melding verplicht?
Bedrijven moeten een melding maken bij de Autoriteit Persoonsgegevens (AP) wanneer er sprake is van diefstal, verlies of misbruik van persoonsgegevens. Ook de betrokkenen (degenen op wie de persoonsgegevens betrekking hebben) dienen mogelijk te worden geïnformeerd.
Een inbreuk op de beveiliging van persoonsgegevens moet ruim worden genomen. Dit betreft alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens.
Indienen van een melding
U kunt een datalek melden via het online meldloket datalekken. Dit moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.
De melding aan de Autoriteit Persoonsgegevens dient minimaal het volgende te bevatten:
- de aard van de inbreuk;
- de instanties waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
Bij het meldloket van de AP is het mogelijk een nieuwe melding in te dienen, een bestaande melding aan te passen of een bestaande melding in te trekken.
Nalaten een melding te doen
Sinds 1 januari 2016 mag de Autoriteit Persoonsgegevens aanzienlijk hogere boetes opleggen tot (theoretisch) 820.000 of, als dat niet passend is 10% van de netto jaaromzet van de rechtspersoon.
AVG per 25 mei 2018 van kracht
Per 25 mei 2018 zal de AVG (Algemene verordening gegevensbescherming) het geheel vervangen. Vanaf die datum geldt dezelfde privacywetgeving in de hele EU. De boetes zullen aanzienlijk hoger worden. Vanaf 25 mei 2018 kan men een boete opgelegd krijgen tot 4% van de jaaromzet, of € 20 mln.
Voorkom datalekken
Het is in ieders belang dat datalekken worden voorkomen.
Wilt u weten hoe u dit het beste kan doen en welke maatregelen uw bedrijf moet nemen, neem dan vrijblijvend contact op met Auxzenze.