Meldplicht datalekken in de Wbp en de AVG - Blue Legal

Meldplicht datalekken in de Wbp en de AVG

Sinds 1 januari 2016 geldt de Wet meldplicht datalekken. Deze meldplicht houdt in dat organisaties, zowel publiek als privaat, direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. De meldplicht datalekken heeft als doel om tot een betere bescherming van persoonsgegevens te komen. In de nieuwe Algemene Verordening Gegevensbescherming (AVG) is deze meldplicht verder uitgebreid en zijn de boetes verhoogd.

Datalek

Onder een datalek verstaat de Autoriteit Persoonsgegevens persoonsgegevens die zijn gelekt of vernietigd door een beveiligingsincident.  Bij zo’n lek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Een datalek kan bijvoorbeeld ontstaan door een hack, diefstal of een menselijke fout. Denk aan het verlies van een laptop met daarop medische gegevens.

Beveiliging persoonsgegevens

Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) en de nieuwe verordening (AVG) beveiligen.

De Wbp en de AVG geven aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Versleutel dus digitale informatie en behandel fysieke datadragers uiterst vertrouwelijk. Maak duidelijke afspraken met interne en externe verwerkers van de bedrijfsinformatie. Stel protocollen op die in werking treden wanneer een datalek aan het licht komt.

Melding maken van een datalek

Vergeleken met de Wbp zijn de eisen onder de AVG veel strenger geworden. Als een verwerkingsverantwoordelijke (dus degene die verantwoordelijk is voor de persoonsgegevens) zich bewust is geworden van een datalek moet dit meteen, waar mogelijk binnen 72 uur, gemeld worden aan de Autoriteit Persoonsgegevens. Lukt dat niet,  dan zal een verklaring gegeven moeten worden voor de vertraging.

Ook moet de betrokkene worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Overigens kan een melding achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt.

Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

Melding maken van een datalek kan via https://datalekken.autoriteitpersoonsgegevens.nl/

Boetes

Onder de Wbp kan de Autoriteit Persoonsgegevens boetes tot en met € 820.000,- opleggen indien niet wordt voldaan aan de meldplicht datalekken. Dit bedrag wordt onder de AVG een stuk hoger. Boetes kunnen dan namelijk oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.

Conclusie

Zorg dat de beveiliging op orde is, zodat de kans op een datalek minimaal is. Mocht zich toch een datalek voordoen, maak dan melding bij de Autoriteit Persoonsgegevens. Wordt geen melding gemaakt, dan bestaat de kans dat er een boete wordt opgelegd. Onder de AVG zijn die nog vele malen hoger dan onder de Wbp. Mocht u twijfelen of er sprake is van een datalek en of u melding moet maken, neem dan contact met ons op.

Vragen of opmerkingen?

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

Chat openen
1
Vragen? Stel ze nu, wij beantwoorden ze graag!