Home » Artikelen » Meldplicht datalekken per 1 januari 2016 – plicht en boete

Meldplicht datalekken per 1 januari 2016 – plicht en boete

files-and-foldersBedrijven die persoonsgegevens verwerken moeten vanaf 1 januari 2016 datalekken melden[1] bij de Autoriteit Persoonsgegevens[2] (AP) en/of direct bij betrokkenen die geschaad kunnen zijn door het lek.

Een datalek houdt in dat persoonsgegevens verloren zijn gegaan bij een inbreuk op de beveiliging[3]. Het is strikt genomen niet verplicht om alle datalekken te melden maar onterecht niet gemelde datalekken kunnen zwaar(der) worden beboet.

Alleen voor datalekken met wezenlijke of potentiële ernstige nadelige gevolgen voor de bescherming van persoonsgegevens van derden, geldt een meldplicht bij de AP. Aan de betrokkenen moet het datalek worden gemeld als het lek gevolgen kan hebben voor hun persoonlijke levenssfeer hetgeen al heel snel het geval zal zijn.

Terwijl er van ondernemingen wordt verwacht om een self-assessment te verrichten wanneer een incident plaats vindt[4], om te bepalen of en aan wie moet worden gemeld, beoordeelt de AP uiteindelijk achteraf zelf of en hoe een datalek had moeten worden gemeld en of er een boete wordt opgelegd en wat de hoogte van een eventuele boete is[5].

Vast staat in ieder geval dat er vrijwel zonder uitzondering zal moeten worden gemeld aan de AP wanneer een datalek persoonsgegevens bevat van “gevoelige aard”[6]. Gezien de voorbeelden in de beleidsregels[7], kwalificeren persoonsgegevens al vrij snel als persoonsgegevens van “gevoelige aard” en lijken er dan ook weinig gevallen denkbaar dat niet zal moeten worden gemeld aan de AP. Wij zijn dan ook erg benieuwd hoe deze nieuwe regelgeving in de praktijk uit gaat pakken.

 

Michiel Heffels en Hadewich van Alst

 

 

[1] Art. 34 lid 1 Wet bescherming persoonsgegevens (Wbp), en conform aan de beleidsregels meldplicht van datalekken, binnen 72 uur.

[2] De nieuwe naam van het voormalige College Bescherming Persoonsgegevens.

[3] Bijvoorbeeld: een medewerker verliest een laptop of een USB-stick met niet-versleutelde persoonsgegevens van “gevoelige aard”.

[4] Door middel van de beleidsregels en Wbp.

[5] Art. 66 Wbp.

[6] Hier moet je denken aan: gebruikersnamen en wachtwoorden, gegevens die tot identiteitsfraude kunnen leiden, maar ook salaris of betalingsgegevens.

[7] Beleidsregels meldplicht datalekken, pagina 5.