Meldplicht datalekken: dit moet u weten

Door
DAS
usb-stick op straat

Vanaf 1 januari 2016 geldt de Meldplicht Datalekken. Die meldplicht houdt in dat bedrijven die persoonsgegevens verwerken een ernstig datalek moeten melden bij de Autoriteit Persoonsgegevens. Hoe zit het precies en wat zijn de regels?

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Bij persoonsgegevens gaat het om alle informatie die te herleiden is tot een persoon. Denk bijvoorbeeld aan iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Bij een datalek hebben anderen toegang tot de persoonsgegevens of worden persoonsgegevens vernietigd, gelekt of gewijzigd zonder dat dat de bedoeling is van het bedrijf dat de persoonsgegevens verwerkt.

Voorbeelden van een datalek

Van een datalek is bijvoorbeeld sprake in geval van verlies van een usb-stick of laptop of als een hacker inbreekt in een databestand. Maar ook het versturen van een e-mail of brief met persoonsgegevens die per ongeluk bij de verkeerde geadresseerde terechtkomt, is een datalek.

Wat houdt de Meldplicht Datalekken in?

De Meldplicht Datalekken houdt in dat een ernstig datalek bij de Autoriteit Persoonsgegevens moet worden gemeld. Als er bij uw bedrijf data zijn gelekt, is het belangrijk dat het datalek zo snel mogelijk wordt gemeld. Allereerst intern bij een daarvoor aangestelde functionaris en vervolgens moet worden beoordeeld of u het datalek bij de Autoriteit Persoonsgegevens moet melden. Dat is het geval als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens of die ernstige nadelige gevolgen al heeft.
Soms moet u het datalek ook melden aan degene van wie de persoonsgegevens zijn gelekt. Dat hangt af van de ernst van het datalek. Slachtoffers van het datalek kunnen dan in ieder geval maatregelen nemen, zoals het blokkeren van hun creditcard of het veranderen van hun wachtwoord.

Voor welke bedrijven geldt de nieuwe meldplicht?

De meldplicht geldt voor alle bedrijven, overheden en andere organisaties die persoonsgegevens verwerken.

Hoe meld ik een datalek bij de Autoriteit Persoonsgegevens?

Een datalek meldt u via de website van de Autoriteit Persoonsgegevens. Doe dat in ieder geval binnen 72 uur nadat u het datalek ontdekt.

Wat als ik mij niet aan de meldplicht houd?

Als u een ernstig datalek niet binnen twee werkdagen meldt, kan de Autoriteit Persoonsgegeven u een forse boete geven. De boete kan oplopen tot 820.000 euro.

Zo bent u voorbereid: tips Meldplicht Datalekken

Hebt u binnen uw bedrijf de juiste maatregelen genomen om een datalek zoveel mogelijk te voorkomen? Deze tips helpen u en uw werknemers hierbij.

• Breng in kaart welke persoonsgegevens in uw bedrijf worden verwerkt en hoe u die gegevens momenteel verwerkt.
• Zorg voor een goede beveiliging van die persoonsgegevens. Leg alleen persoonsgegevens vast die u daadwerkelijk nodig hebt voor uw bedrijfsvoering en zorg dat onbevoegden hier niet bij kunnen.
• Kies slimme en sterke wachtwoorden en ga hier zorgvuldig mee om.
• Bescherm gevoelige informatie op de werkplek: vergrendel uw pc als u van uw werkplek gaat en gooi vertrouwelijke documenten in een afgesloten papiercontainer.
• Bewaar en verplaats gegevens alleen op opslagfaciliteiten die door uw bedrijf zijn goedgekeurd en wees voorzichtig met publieke opslagfaciliteiten (zoals WeTransfer).
• Neem fysieke informatie alleen mee als het niet anders kan.
• Wees alert met het versturen van e-mails met persoonsgegevens. Verifieer de ontvangers en het bijbehorende e-mailadres alvorens te versturen.
• Laat laptops, usb-sticks, smartphones en andere gegevensdragers niet achter op onbewaakte plaatsen en geef hier instructies over aan uw werknemers.
• Instrueer uw werknemers hoe ze met de persoonsgegevens en andere privacygevoelige informatie moeten omgaan. Controleer regelmatig of uw werknemers zich aan de regels houden.
• Stel een protocol op voor de situatie waarin uw bedrijf met een datalek te maken krijgt en  benoem intern een afdeling of persoon die een datalek kan beoordelen en melden bij de Autoriteit Persoonsgegevens.
• Zorg dat uw werknemers precies weten hoe ze moeten handelen in geval van een datalek: informeer ze bij wie ze het datalek intern moeten melden.