Privacy bescherming en meldplicht datalekken: Voorkom hoge boetes!

Per 1 januari 2016 is de Wet Bescherming Persoonsgegevens uitgebreid met een meldplicht bij datalekken en de bevoegdheid aan het College Bescherming Persoonsgegevens (dan: Autoriteit Persoonsgegevens) om boetes op te leggen. De maximale boete is EUR 810.000. Voldoende reden dus om goed te kijken of de privacy in uw organisatie voldoende gewaarborgd zijn en de wettelijke regels in acht worden genomen.
Kortom: bent u ‘compliant’?

Inhoudsopgave:
1 Passende technische en organisatorische maatregelen
2 Per 1 januari 2016: Meldplicht datalekken
3 Wat is een datalek?
4 Voorbeelden van datalekken
5 Hoge boete overtreding meldplicht datalekken
6 Richtsnoeren meldplicht datalekken
7 Zorg dat uw organisatie compliant is
download pdf voor uw leesgemak

1 Passende technische en organisatorische maatregelen
Bedrijven en organisaties moeten moderne en passende techniek gebruiken om persoonsgegevens te beveiligen. Maar het gaat niet alleen om de technische systemen en beveiligingen, maar ook om het gebruik van en toegang tot de persoonsgegevens. Daar moet goed over nagedacht worden. Wie kan bij welke gegevens en waarom? En is dat echt nodig?

2 Per 1 januari 2016: Meldplicht datalekken
Vanaf januari treedt de meldplicht datalekken in werking. Bedrijven en organisaties moeten dan direct een melding doen aan het College Bescherming Persoonsgegevens (dan: Autoriteit Persoonsgegevens) als er een ernstige datalek is. In bepaalde gevallen moeten ook de betrokkenen (personen van wie de persoonsgegevens zijn) geïnformeerd worden.

3 Wat is een datalek?
Een datalek is niet alleen het lekken (vrijkomen) van gegevens, maar ook onrechtmatige verwerking van gegevens (gebruik van gegevens terwijl dat niet mag). Het gaat dus ook om (onrechtmatige):
– toegang tot persoonsgegevens
– vrijkomen, verwijderen of vernietigen van persoonsgegevens.

In juridische termen is een datalek een inbreuk op de beveiliging van persoonsgegevens zoals beschreven in artikel 13 van de Wet bescherming persoonsgegevens:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

4 Voorbeelden van datalekken
Voor de hand liggende voorbeelden van een datalek zijn:
– een usb stick die kwijtraakt met daarop persoonsgegevens
– een laptop die gestolen word met gegevens erop
– een hacker die inbreekt in een databestand

Maar ook:
– het verschaffen van toegang tot bestanden met persoonsgegevens (of toestaan dat dit gebeurt) aan personen die deze toegang niet zouden mogen hebben en/of in verband waarmee onvoldoende maatregelen zijn getroffen en (geheimhoudings)afspraken zijn gemaakt.

5 Hoge boete overtreding meldplicht datalekken
Als een bedrijf of organisatie (vanaf 1 januari 2016) te maken heeft met een (ernstige) datalek en dit niet meldt dan kan een boete opgelegd worden. De maximale boete is momenteel vastgesteld op 810.000 euro.

6 Richtsnoeren meldplicht datalekken
Het College Bescherming Persoonsgegevens heeft richtsnoeren opgesteld om te bepalen of sprake is van een datalek en of deze gemeld moet worden. Er is een consultatieronde geweest en het definitieve document moet nog worden vrijgegeven.

De concept Richtsnoeren meldplicht datalekken vindt u hier.
De samenvatting ervan vindt u hier.

7 Zorg dat uw organisatie compliant is
De invoering van meldplicht datalekken en de boete bevoegdheid is dus een goede reden om (weer) na te gaan of uw bedrijf of organisatie aan de privacy wetgeving voldoet (‘compliant’ is).

Download pdf voor uw leesgemak

Neem contact op met advocaat Saskia van de Griek om vrijblijvend te bespreken wat uw bedrijf of organisatie nodig heeft.

Privacyrecht diensten van dit advocatenkantoor
Profiel van deze advocaat
Referenties


Share this:
Facebooktwittergoogle_pluslinkedinmail
Follow us:
Facebooktwittergoogle_pluslinkedin