datalekken

21 dec Wet meldplicht datalekken

Datastromen binnen en tussen organisaties nemen voortdurend toe. Hoe al die data beveiligd moeten worden, is in toenemende mate een uitdaging. Door beveiligingsproblemen kunnen immers gevoelige persoonsgegevens op straat belanden. Om privacygevoelige (WBP = Wet bescherming Persoonsgegevens) gegevens optimaal te beschermen, geldt vanaf 1 januari 2016 de Wet meldplicht datalekken. Vanaf dat moment zijn zowel private als publieke organisaties die persoonsgegevens bewerken of verwerken, verplicht om binnen 48 of 72 uur melding te maken van een datalek. Doe je dit niet? Dan wacht je mogelijk een boete, die kan oplopen tot  € 810.000,- per incident per hoofdelijk aansprakelijke. Nu zal dit in de praktijk wel loslopen maar je wilt ook niet de eerste zijn die zo’n megaboete voor zijn kiezen krijgt.

Ben jij al voorbereid?
De nieuwe wet behelst meer dan alleen melden. Ook de wet keten aansprakelijkheid gaat hier een rol in spelen, Je denkt nu wellicht “uitbesteden klaar”. Nee, immers jij wilt die data opslaan, dan ben je ook aansprakelijk en verantwoordelijk hiervoor. 

Een datalek! Wat nu?
Het is niet de vraag of zich een datalek zal voordoen, maar wanneer en of het zich al heeft voorgedaan. Je leest en hoort het iedere dag, zorg er dus voor dat je compliant bent aan de wet.

Melding aan de betrokken persoon
Als het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen (jouw klanten), dan dienen ook zij een melding te ontvangen. Deze melding omvat in elk geval de aard van de inbreuk, de instanties waar meer informatieve over de inbreuk kan worden verkregen en de Wet “algemene meldplicht datalekken”. Er zijn uitzonderingen op de plicht om aan de betrokken personen te melden. Deze plicht geldt bijvoorbeeld niet als de gelekte persoonsgegevens naar behoren versleuteld zijn.Een organisatie heeft de plicht een logboek bij te houden van alle lekken die ernstig genoeg waren om aan de toezichthouder te moeten melden.

Meer informatie
Meer informatie is te vinden op de website van de Autoriteit Persoonsgegevens.