Bent u al klaar voor de meldplicht datalekken?

Op 1 januari 2016 treedt de Wet meldplicht datalekken in werking. Het is daarom tijd om uzelf af te vragen of binnen uw organisatie al over deze meldplicht is nagedacht en hiervoor al een procedure is ingericht zodat u niet voor verrassingen komt te staan.

Meldplicht
Deze wet voegt aan de Wet bescherming persoonsgegevens in een nieuw artikel 34a een meldplicht voor inbreuken op de beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Wanneer melden?
Met het in werking treden van deze wet moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College Bescherming Persoonsgegevens (CBP), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete van het CBP.

Inhoud kennisgeving
De kennisgeving aan het College en de betrokkene moet in ieder geval omvatten: de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De kennisgeving aan het College moet ook een beschrijving bevatten van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

Bijhouden overzicht
Daarnaast wordt de verantwoordelijke verplicht om een overzicht bij te houden van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Melding bij CBP en boete
Een datalek kan te zijner tijd worden aangemeld bij het CBP middels een formulier op de website van het CBP. Boete 810.000,- Euro of een geldboete tot ten hoogste 10% van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking, afhankelijk van welk bedrag het hoogste is.

Kijk voor meer informatie over de meldplicht datalekken op de website van het College Bescherming Persoonsgegevens.