Meldplicht Datalekken

Per 1 januari 2016 is de Meldplicht Datalekken ingegaan. Deze meldplicht houdt in dat organisaties bij een datalek per direct een melding moeten doen bij de Autoriteit Persoonsgegevens. Tevens moet in enkele gevallen de datalek ook aan betrokkenen, van wie de persoonsgegevens gelekt zijn, gemeld worden. Het lekken van data of het verwerken van persoonsgegevens zonder het volgen van de wettelijke regels kan leiden tot een boete die op kan lopen tot € 820.000,- of 10% van de jaaromzet per overtreding.

Volgens de wet is er sprake van een datalek wanneer persoonsgegevens verloren zijn gegaan of wanneer persoonsgegevens onrechtmatig verwerkt zijn. Bij het verloren gaan van persoonsgegevens moet u denken aan het kwijtraken van een usb-stick of laptop, of inbraak door een hacker. Onder onrechtmatige verwerking valt het aanpassen van persoonsgegevens, onbevoegde toegang en afgifte van deze gegevens.

U hoeft echter niet elk beveiligingsincident te melden als een datalek. Als er enkel sprake is van een zwakke plek in de beveiliging, geldt dit als beveiligingslek en niet als datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens. Tevens bent u niet verplicht om een datalek te melden wanneer u aan kunt tonen dat de data versleuteld was. Het is dus te adviseren om als bedrijf beveiligingsmaatregelen te nemen. Een voorbeeld hiervan is het gebruikmaken van encryptietechnieken of beveiligde USB sticks en disken.

Bron: Impact Van De Meldplicht Datalekken. N.p.: BECS IT Services, n.d. PDF.