Ben je voorbereid op de meldplicht datalekken?

Vanaf 1 januari 2016 gaat de meldplicht datalekken in. Organisaties die met persoonsgegevens werken zijn dan verplicht om het lekken van persoonsgegevens te melden. Over de nieuwe regels bestaat veel onduidelijkheid. De belangrijkste info op een rij.

Laptops, tablets en smartphones die zakelijk worden gebruikt bevatten steeds vaker persoonsgegevens van klanten en medewerkers. Bij het verlies van zo’n apparaat kan het een organisatie duur komen te staan als dat datalek niet wordt gemeld. Per 1 januari 2016 gaat namelijk de meldplicht datalekken in.

Wat houdt de meldplicht datalekken in?

Vanaf 1 januari 2016 zijn organisaties die persoonsgegevens verwerken verplicht om melding te maken van een datalek dat impact kan hebben op persoonsgegevens. Ook het vermoeden van een lek moet worden gemeld. Als niet via logfiles aannemelijk kan worden gemaakt dat er geen data van persoonsgegevens weg is of is bewerkt door onbevoegden is een melding ook verplicht.

Elk incident moet binnen ongeveer twee werkdagen gemeld worden aan de Autoriteit Persoonsgegevens (AP) Dat is de nieuwe naam voor het College Bescherming Persoonsgegevens (CBP).

De meldplicht is een uitbreiding op de wet Bescherming Persoonsgegevens en moet de privacy van burgers versterken in een tijd waarin cybercriminelen het steeds vaker gemunt hebben op identiteitsgegevens.

Voor wie geldt de meldplicht datalekken?

De meldplicht geldt nu al voor telecombedrijven en internetdienstverleners, maar vanaf 1 januari 2016 geldt deze voor alle organisaties die persoonsgegevens verwerken. Dat zijn bijvoorbeeld ook sportclubs, mkb-bedrijven en zorginstellingen.

Medewerkers beschikken vaak over verschillende mobiele apparaten waarop persoonsgegevens worden verwerkt en daardoor ontstaat een steeds groter risico op het lekken van die informatie.

Wat gebeurt er na een melding?

De toezichthouder onderzoekt of de door de wet Bescherming Persoonsgegevens gestelde juridische en beveiligingsmaatregelen zijn genomen. De beslissing of een organisatie wordt beboet zal mede bepaald worden door hoe goed richtlijnen zijn gevolgd. Het gaat om richtlijnen die betrekking hebben op de inrichting van de juridische, procedurele, organisatorische en technische kanten van de beveiliging van persoonsgegevens.

Hoe handhaving eruit gaat zien is pas duidelijk als er jurisprudentie is over sancties. Juristen zijn dan ook erg benieuwd naar de eerste rechtszaken naar aanleiding van mogelijk boetes van de Autoriteit Persoonsgegevens.

Hoe hoog zijn de boetes?

De maximale boete voor de Nederlandse wet is gesteld op 850.000 euro. In de Europese wet, die waarschijnlijk in 2017 in zal gaan, wordt gesproken van een bepaald percentage van de omzet van het bedrijf of de organisatie. Voor internationaal opererende bedrijven geldt de omzet van de activiteiten van de gehele groep.

Gaat de autoriteit ook actief speuren na lekken?

De Autoriteit Persoonsgegevens gaat volgens de huidige opzet niet actief op zoek naar lekken. Pas na een melding wordt een onderzoek gestart.

Wanneer moet ik een incident melden?

De bewaarplicht is zeer uitgebreid en complex. Het CBP biedt met het bestand richtsnoeren voor meldingen van datalekken een lijvig document waarin organisaties aan de hand van een uitgebreide beslisboom en casussen kunnen nagaan wanneer ze een incident moeten melden.

Bij de toetsing van incidenten wordt vooral gekeken welke risicobeheermaatregelen zijn genomen om datalekken te voorkomen. Incidenten worden vastgelegd in een register dan niet openbaar is.

Lees ook: