Meldplicht datalekken

Op 1 januari 2016 gaat de meldplicht datalekken in.

Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Meldplicht datalekken

Meldloket Autoriteit Persoonsgegevens

Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden datalekken

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Beleidsregels meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld over de meldplicht datalekken. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een informatiesysteem het punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van de laatste back-up na afloop van de bewaartermijn. De meeste bedrijven werken echter al met bestaande informatiesystemen die al zijn ingebed in de bedrijfsstructuur en cultuur, zonder dat de technische en organisatorische beveiliging voldoende onder de loep is genomen.

Hoe treft uw organisatie de juiste passende technische en organisatorische maatregelen? Een goede methode om hier achter te komen is het verrichten van een risicoanalyse. Meer weten? Maak dan snel een afspraak met een van onze accountmanagers.

Op de website van het CBP vindt u meer informatie en antwoorden op vragen over de meldplicht datalekken.