Blog
HomePrivacyMeldplicht datalekken en boetes

Meldplicht datalekken en boetes

Wellicht een wat taaie, maar wel een zeer belangrijke update. Vanaf 1 januari 2016 wijzigt de privacywetgeving. Allereerst komt er een meldplicht bij ernstige datalekken. Ondernemingen dienen dit lekken direct te melden bij het College Bescherming Persoonsgegevens (“CBP”) en in sommige gevallen zelfs bij de personen van wie persoonsgegevens zijn gelekt. Daarnaast wordt de boetebevoegdheid van het CBP uitgebreid. Lees verder voor een korte uiteenzetting.

Een onderneming die persoonsgegevens verwerkt moet zich (uitzonderingen daargelaten) met een formulier aanmelden bij het CBP. Deze onderneming is verplicht de personen waarvan de gegevens worden verwerkt daarvan op de hoogte stellen. Dit gebeurt vaak door middel van een Privacy Statement of Privacy Policy op de website van een onderneming.

De wet stelt dat ondernemingen deze gegevens moeten beveiligen door passende technische en organisatorische maatregels te treffen.  En wordt de verwerking van persoonsgegevens uitbesteed aan een derde? Dan ben je verplicht een bewerkersovereenkomst te sluiten.

Dit geldt allemaal al. Wat is er dan nieuw?

Als gevolg van de nieuwe wet moeten ernstige datalekken worden gemeld aan het CBP (Autoriteit Persoonsgegevens).  Onder “datalek” valt de toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Het gaat dus niet enkel om het lekken van gegevens, maar ook om onrechtmatige verwerking van gegevens. Een datalek kan geschieden door het verliezen van een device waarop persoonsgegevens staan (denk aan een USB-stick, laptop, tablet etc.) maar ook indien een hacker zich op onrechtmatige wijze toegang verschaft tot persoonsgegevens. Een datalek is “ernstig” indien het gaat om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.

Een ernstig datalek moet worden gemeld aan de betrokkene indien niet alle gelekte gegevens (goed) versleuteld waren, of indien het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene heeft.

Kortom: niet ieder datalek hoeft te worden gemeld. Enkel die datalekken die leiden tot (een aanzienlijke kans) op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dit is doorgaans het geval als het gaat om gevoelige gegevens van betrokkenen (denk hierbij aan: ras, godsdienst, gegevens over financiële situatie, paswoorden, gegevens die kunnen worden misbruikt voor identiteitsfraude etc).

Het CBP krijgt voorts de bevoegdheid in meer gevallen bestuurlijke boetes op te leggen aan ondernemingen die niet aan de privacywetgeving voldoen.  Zo kan het CBP boetes opleggen indien een onderneming zich ten onrechte niet bij het CBP aanmeldt, indien persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt en/of langer worden bewaard dan noodzakelijk is, als de beveiliging niet voldoende is of indien het beheer van persoonsgegevens slecht is georganiseerd.

De boete is maximaal EUR 820.000,– (!) per overtreding.

Wat kun je doen op jouw onderneming ” privacywetgeving-proof” te maken?

  • Zorg ervoor dat je bent aangemeld bij het CBP, indien jouw onderneming hiertoe verplicht is;
  • Informeer je klanten/bezoekers van je website dat je persoonsgegevens verwerkt, bijvoorbeeld met een Privacy Statement;
  • Controleer of jouw beveiligingsmaatregelen voldoende zijn en jouw software regelmatig wordt geüpdatet;
  • Maak afspraken met partijen die bij de verwerking van persoonsgegevens betrokken zijn (bewerkersovereenkomst);
  • Denk alvast na over wie gaat controleren of er sprake is van een datalek en over wie en op welke wijze een datalek wordt gecommuniceerd naar betrokkenen;
  • Houd je aan je eigen afspraken!

Het CBP heeft beleidregels opgesteld over de meldplicht:
https://www.cbpweb.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

Heb je vragen? Neem dan contact op.

Floor May
0653872244

 

Written by

The author didnt add any Information to his profile yet