Meld­plicht da­ta­lek­ken

Met ingang van 1-1-2016 schrijft de Wet bescherming persoonsgegevens (Wpb) de meldplicht datalekken voor.

Uw bedrijf verwerkt persoonsgegevens in opdracht van DAS. Als een datalek van deze persoonsgegevens plaats vindt bij uw bedrijf, of bij de eventueel door u ingeschakelde sub-bewerkers, dient u dit bij DAS binnen 24 te melden uur via onderstaand formulier. Voor vragen of opmerkingen, kunt u contact opnemen met ons via datalek@das.nl.

Veelgestelde vragen

Waarom ontvangt jouw bedrijf een brief over de meldplicht datalekken?

Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven die persoonsgegevens verwerken, datalekken moeten melden aan Autoriteit Persoonsgegevens. Meer informatie over de beleidsregels en de meldplicht vind je via de website van de Autoriteit Persoonsgegevens.

Indien DAS en jouw bedrijf een overeenkomst hebben met betrekking tot het verwerken van persoonsgegevens, is voor jouw bedrijf de verplichting opgenomen, om DAS onmiddellijk in kennis te stellen van een beveiligingsinbreuk of datalek. In voorkomende gevallen ben je ook verplicht, mee te werken aan het adequaat informeren van klanten respectievelijk betrokkenen.

Wat is een datalek?

Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens.

Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de technische of organisatorische beveiligingsmaatregelen bescherming moeten bieden. Onder onrechtmatige vormen van verwerking vallen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.

Wanneer moet je een datalek melden?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een bedrijf, zonder dat dit de bedoeling was. Kort gezegd, als je bedrijf redelijkerwijs niet kan uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking van persoonsgegevens - die je voor DAS verwerkt - heeft geleid, dan moet het datalek aan DAS worden gemeld.

Moet een bewerker/je bedrijf eerder een datalek melden aan DAS?

Ja, een bewerker/je bedrijf dient een datalek binnen 24 uur aan DAS te melden, zodat DAS de melding bij de Autoriteit Persoonsgegevens binnen de gestelde termijn van 72 uur kan doen.

De wettelijke meldplicht datalekken richt zich tot de verantwoordelijke (i.c. DAS) voor de verwerking van persoonsgegevens. Het is dus aan DAS om te bepalen of er sprake is van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

De afweging of een datalek moet worden gemeld aan de toezichthouder Autoriteit Persoonsgegevens en of betrokkenen hierover moeten worden geïnformeerd, is een besluit dat DAS moet nemen, op basis van de door jouw bedrijf verstrekte informatie en haar eigen inschatting.

Wat zijn de consequenties bij niet, of niet tijdig of niet volledig melden van een datalek?

Een overtreding van de Wet beschermingspersoonsgegevens, kan door de Autoriteit Persoonsgegevens worden bestraft met een bestuurlijke boete van maximaal EUR 820.000 of 10% van de jaaromzet van een bedrijf.

Door tijdig volledige informatie te verstrekken over een inbreuk op de beveiliging kunnen DAS en je bedrijf eventuele boetes en/of schade voorkomen of minimaliseren.