Het CBP (College bescherming persoonsgegevens) heeft maandag de conceptrichtsnoeren over de nieuwe meldplicht datalekken gepubliceerd. Belanghebbenden kunnen de komende 4 weken reageren. De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als zo’n datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen, moet de organisatie ook hen informeren. De meldplicht datalekken geldt met ingang van 1 januari 2016.
Bij een datalek is sprake van een inbreuk op de beveiliging. Persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Denk aan een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.
Melden of niet?
Of organisaties verplicht zijn een melding van een datalek te doen, hangt af van de ernst ervan. Die wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.
Soms zijn organisaties verplicht het lek te melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.
De richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen.
Consultatie richtsnoeren
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de conceptversie te reageren. Het CBP houdt rekening met deze reacties in de definitieve versie van de richtsnoeren. U kunt reacties inzenden via consultatiedatalekken@cbpweb.nl.
De definitieve versie van de richtsnoeren treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 810.000 euro.
