Datalekken en de meldplicht

datalek

Op 1 januari 2016 is de meldplicht datalekken ingegaan en in dit artikel zetten we de belangrijkste punten op een rij. We hebben dit gebaseerd op de website van het College Bescherming Persoonsgegevens.

Persoonsgegevens

De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.

Voorbeelden van persoonsgegevens: Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Verwerken van persoonsgegevens

Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is dus een zeer ruim begrip. Handelingen die er volgens de Wet bescherming persoonsgegevens (Wbp) in ieder geval onder vallen, zijn: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Meer informatie over persoonsgegevens: https://www.cbpweb.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoons...

Meldplicht datalekken

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij dit ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Boetes

De Autoriteit persoonsgegevens kan bij overtreding van vrijwel alle verplichtingen uit de Wbp boetes uitdelen. Als een overtreding niet opzettelijk of door enstig verwijtbare nalatigheid is begaan, legt Autoriteit eerst een ‘bindende aanwijzing’ op voordat een boete kan worden opgelegd.De overtreder krijgt daarmee de gelegenheid om de overtreding weg te nemen, bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen. Het niet-naleven van een bindende aanwijzing kan direct worden bestraft met een boete die kan oplopen tot wel 810.000 euro of, indien dat geen passende bestraffing is, zelfs tien procent van de jaaromzet. Wordt de Wbp echter opzettelijk overtreden, dan kan dit direct tot een boete leiden.

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. 

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

CBP-richtsnoeren meldplicht datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Belangrijke stappen:

We richten ons vooral op persoonsgegevens die via websites of webapplicaties verwerkt worden en hierbij is het van belang om vast te stellen of de Wet Bescherming Persoonsgegevens (WBP) van toepassing is. De volgende vragen kunnen hierbij helpen:

  1. Is er sprake van verwerking van persoonsgegevens op de website.
  2. Ben je (als organisatie) verantwoordelijk voor de verwerking daarvan?
  3. Is de WBP van toepassing op de verwerking?

Concrete acties als de WPB van toepassing is: 

  • Sluit bewerkersovereenkomsten af met de bewerker van persoonsgegevens zoals bijvoorbeeld: hosting partij, website ontwikkelaar / beheerder, leveranciers van bijvoorbeeld e-mail nieuwsbrief tool, online CRM pakket en natuurlijk Google Analytics. 
  • Stel procedures op voor:
    • het vaststellen of sprake is van een datalek
    • het vaststellen of het lek moet worden gemeld aan het CBP en zo ja hoe, door wie en wanneer dit wordt gedaan.
    • het vaststellen of het datalek aan de betrokkenen moet worden gemeld.

Interesse? 

Delen