Datalekken

Meldplicht datalekken en privacywetgeving

Datalekken vormen een groot risico voor ieder bedrijf. Bij een datalek vallen persoonsgegevens in handen van derden die geen toegang tot die gegevens zouden mogen hebben. De oorzaak is meestal een beveiligingsprobleem of onzorgvuldig handelen van medewerkers.

Waarom een meldplicht?

De meldplicht datalekken was al van kracht in Nederland voor de invoering van de AVG, maar de regels zijn nu alleen maar strenger. De meldplicht datalekken houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan het Autoriteit Persoonsgegevens (AP) en in bepaalde gevallen ook aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Met de meldplicht moeten de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperkt worden. Dit moet ook een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Wat is een datalek?

Een datalek betreft alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken waardoor de persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking van persoonsgegevens.

Welke datalekken moet u melden?

Voor de meldplicht datalekken geldt dat er sprake moet zijn van het lekken van data en dat het lekken een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot verwerkte persoonsgegevens tot gevolg heeft. Bij vernietiging van gegevens is niet altijd sprake van een datalek, bijvoorbeeld als een database met persoonsgegevens is vernietigd en een actuele back-up beschikbaar is, op basis waarvan de database direct weer wordt opgebouwd.

Melden datalek aan Autoriteit Persoonsgegevens

Bij de AP moet u een datalek binnen 72 uur na de ontdekking van het incident melden. De melding is op basis van de gegevens waarover u op dat moment beschikt. Eventueel kunt u de melding naderhand nog aanvullen of intrekken.

Handhavingsmogelijkheden Autoriteit Persoonsgegevens

De AP kan boetes opleggen tot 20 miljoen euro of maximaal 4 procent van de wereldwijde jaaromzet van de verantwoordelijke. Deze boetes kunnen niet enkel worden opgelegd aan degene in wiens opdracht de persoonsgegevens worden verwerkt, maar ook aan degene die in opdracht met de verwerking is belast.

Ondersteuning cybersecurity