Meldplicht datalekken per 1 januari 2016
Op 1 januari 2016 gaat de wet datalekken in. Beveiligingsincidenten moeten dan direct gemeld worden bij de Autoriteit Persoonsgegevens (AP), nu nog het College bescherming persoonsgegevens (CBP) geheten. Soms moet u ook melden aan de persoon wiens privacy in het geding is. De Autoriteit Persoonsgegevens heeft hiervoor beleidsregels opgesteld. In deze beleidsregels staat een overzichtelijk stappenplan om te bepalen wanneer u een melding moet doen.
Er is alleen sprake van een datalek als er daadwerkelijk een beveiligingsincident is geweest. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
De AP geeft als voorbeelden van datalekken: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.
Wanneer melden bij de AP?Het moet gaan om een datalek:
- dat leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens
- óf dat ernstige gevolgen heeft voor de bescherming van persoonsgegevens.
- Een belangrijke factor is de aard van de gegevens: bijvoorbeeld het lekken van gezondheidsgegevens van cliënten; dan is een melding in het algemeen noodzakelijk.
Melden bij betrokkene:
- als het datalek waarschijnlijk ongunstige gevolgen heeft voor de persoonlijke levenssfeer (identiteitsfraude, onrechtmatige publicatie e.d.)
- als het om gevoelige gegevens gaat, zoals gezondheidsgegevens van cliënt
Termijn melden
Een datalek moet onverwijld worden gemeld. Zowel aan de AP als (indien van toepassing) de betrokkene. Binnen welke termijn 'onverwijld' is, hangt af van de concrete situatie. De termijn gaat in elk geval lopen op het moment dat u (of uw bewerker) een mogelijk datalek ontdekt. U mag in elk geval enige tijd nemen om nader onderzoek te doen naar de melding om onnodige meldingen te voorkomen. Op grond van de beleidsregels van het Cbp dient er binnen 72 uur na de ontdekking van het incident gemeld te worden.
Hoe meldenDe AP gaat een webformulier op haar website beschikbaar stellen om te melden. U ontvangt een ontvangstbevestiging zodat u bewijs heeft van het tijdstip van melding. Dit moet u bewaren.
Boetes tot € 810.000
Op overtreden van deze wet staat een boete tot maximaal € 810.000 of 10% van de jaaromzet per overtreding. U kunt bij een inbreuk boetes krijgen voor:
- het niet tijdig melden
- het niet correct informeren van de betrokkene
- het niet goed administreren van de ondernomen acties
- het niet op orde hebben van uw beveiliging
De boetes gelden ook voor leidinggevenden.