Vanaf 1 januari 2016 geldt de meldplicht datalekken. Op basis van deze meldplicht zijn organisaties die persoonsgegevens verwerken verplicht ‘datalekken’ te melden aan de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens). Om te kunnen melden moeten organisaties afspraken maken met hun dienstverleners in een bewerkersovereenkomst.
Nederland ICT heeft een voorbeeld bewerkersovereenkomst opgesteld waarin de meldplicht datalekken is meegenomen, om zo lidbedrijven te helpen bij het maken van deze afspraken met hun klanten.
De meldplicht datalekken is van toepassing op organisaties die kunnen worden aangemerkt als ‘verantwoordelijke’ in de zin van de Wet Bescherming Persoonsgegevens. Dit zijn organisaties die bepalen met welk doel de persoonsgegevens worden verzameld en op welke manier de persoonsgegevens worden verwerkt. Deze verantwoordelijken besteden de verwerkingen van persoonsgegevens vaak uit aan onder meer ICT-dienstverleners, ook wel ‘bewerkers’ genoemd.
De verantwoordelijke is verplicht het uitvoeren van de verwerking van persoonsgegevens door een bewerker te regelen in een overeenkomst met de bewerker, waarin afspraken worden gemaakt over onder meer de beveiliging van de persoonsgegevens. Deze overeenkomst wordt ook wel een ‘bewerkersovereenkomst’ genoemd. De verplichting tot het afsluiten van een bewerkersovereenkomst is niet nieuw. Door de invoering van de meldplicht datalekken krijgen de afspraken tussen verantwoordelijke en bewerker echter wel een extra dimensie: er moeten afspraken worden gemaakt over hoe er zal worden omgegaan met datalekken.