Meldplicht datalekken
Op 1 januari 2016 gaat de meldplicht datalekken in. Dit houdt in dat u vanaf dat moment melding moet maken bij het College bescherming persoonsgegevens (CBP) indien er een datalek plaatsvind binnen uw organisatie. Tevens moet u afhankelijk van de ernst van de situatie de betrokkenen op de hoogte brengen.
Wat houdt een datalek in?
Zoals het CBP het beschrijft op de website hebben we het bij een datalek over toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van de organisatie. Onder een datalek valt dus niet alleen het lekken van gegevens, maar ook onrechtmatige verwerking van gegevens.
Deze regelgeving is van toepassing bij inbreuk op de beveiliging van persoonsgegevens, zoals bedoeld in Artikel 13 van de Wet bescherming persoonsgegevens:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
In geval van een datalek zijn persoonsgegevens onrechtmatig blootgesteld aan verwerking of verlies. Precies dat waar de beveiligingsmaatregelen bescherming moeten bieden.
Datalek voorkomen?
Organisaties die persoonsgegevens opslaan in wat voor vorm dan ook moeten deze beveiligen volgens de Wet bescherming persoonsgegevens (Wbp). De Wbp geeft aan dat ze hiervoor passende en organisatorische maatregelen moeten nemen. U en uw organisatie moeten moderne technieken toepassen om de opgeslagen persoonsgegevens te beveiligen. Behalve de gebruikte techniek maar ook organisatorisch moeten persoonsgegevens voldoende zijn beveiligd. Wie heeft er toegang tot welke gegevens? En zijn deze personen voldoende bewust van de veiligheids risico's?
Zoals het CBP aangeeft moet een organisatie dat persoonsgegevens verzameld vooraf goed nadenken over de beveiliging hiervan. Tevens moet dit een blijvend punt van aandacht zijn. Dit is ook waar MijnSecurityPartner bij komt kijken. Wij kunnen een audit uitvoeren binnen uw organisatie waarin wij nagaan of er voldoende is nagedacht over de beveiliging van persoonsgegevenen en het toepassen hiervan. Heeft u interesse in een audit? Vraag vrijblijvend een offerte aan via het formulier.
Wat als ik een datalek niet meld?
Wanneer u na 1 januari 2016 een datalek ten onrechte niet meldt bij het CBP, kan het CBP u een boete geven. Deze boete heeft een maximaal bedrag van € 810.000. Dit bedrag is sinds 1 januari 2014 de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Momenteel is dit € 810.000, maar per 1 januari 2016 geldt mogelijk een hoger bedrag.
