Is uw bedrijf klaar voor de meldplicht van datalekken?

Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). In dit artikel leest u wat een datalek is, wanneer deze gemeld moet worden aan de CBP en getroffen persoon, en wat de consequenties zijn van het overtreden van privacyregels.

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Wanneer moet een datalek gemeld worden?

De wet bepaalt dat datalekken binnen twee werkdagen gemeld moeten worden indien ze ‘ernstig’ zijn. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Valt een lek niet onder deze categorieën, hoeft het niet gemeld te worden.

Enkele voorbeelden van gevoelige gegevens:

  • inloggegevens;
  • financiële gegevens;
  • kopieën van identiteitsbewijzen;
  • school- of werkprestaties;
  • gegevens die betrekking hebben op levensovertuiging;
  • gegevens die betrekking hebben op gezondheid.

Datalekken melden aan getroffen personen

Indien deze ‘ernstige’ datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, dient u – naast de melding aan de toezichthouder – het lek tevens binnen twee werkdagen te melden aan de personen waarvan de gegevens zijn gelekt. Dit zullen in de meeste gevallen klanten zijn.

Meer en hogere boetes

Het niet melden van een datalek heeft financiële gevolgen. Het CBP kan bedrijven straks in meer gevallen een bestuurlijke boete opleggen wanneer privacyregels worden overtreden.

Niet alleen het aantal gevallen waarin het CBP boetes kan opleggen wordt vergroot, de bedragen van de boetes gaan ook omhoog. Nu ligt de maximumboete op € 4.500. Het CBP kan vanaf 2016 boetes tot € 810.000 opleggen.