Klanten beoordelen ons met een
Brantjes Data-Vernietiging B.V. Rijnlanderweg 1427 2153 KE Nieuw-Vennep 023 - 532 1960

Meldplicht datalekken

Wat doen bij een datalek? Per 1 januari 2016 zijn private en publieke organisaties verplicht om datalekken waarmee persoonsgegevens gemoeid zijn te melden bij Autoriteit Persoonsgegevens. Het niet melden van een datalek resulteert in boetes die kunnen oplopen tot € 810.000 of 10% van de jaaromzet per overtreding.

meldplicht-datalekken-header
meldplicht-datalekken-header

Wat is een datalek?

Er wordt over een datalek gesproken als er een inbreuk is op de beveiliging van persoonsgegevens. Bij zo’n lek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. De oorzaak hiervan kan zijn de toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de intentie was.

Een datalek kan onder andere ontstaan door een hack, diefstal, verlies, misbruik of een menselijke fout. Een voorbeeld is verlies van een USB-stick met klantinformatie.

De Autoriteit Persoonsgegevens (AP) verplicht u als organisatie te zorgen voor beveiliging van persoonsgegevens welke u verwerkt. Dit geldt ook als u voor de verwerking een derde partij inschakelt. Denk aan een webhostingbedrijf of extern administratiebureau.

De meldplicht datalekken heeft als doel om tot een betere bescherming van persoonsgegevens te komen.

Meldplicht datalekken maatregelen

Welke maatregel kunt u treffen bij een datalek? De AP heeft maatregelen opgesteld wat u als bedrijf moet doen als u te maken heeft met een (ernstig) datalek. Zoals bij een server hack of het verlies van een ordner met klantgegevens.

Wanneer moet u een datalek melden?

Een ernstig datalek dient u binnen 48 uur te melden bij de Autoriteit Persoonsgegevens. Dit geldt bijvoorbeeld bij verlies van grote hoeveelheden data of bij verlies van gevoelige persoonlijke informatie. Zoals inloggegevens, financiële gegevens of medische gegevens.

De ernst van een datalek wordt onder andere bepaald door het soort gelekte persoonsgegevens.

In sommige situaties dient u ook de getroffen personen in te lichten van het lek. Bijvoorbeeld wanneer het lek leidt tot ernstige gevolgen voor de persoonlijke levenssfeer. Zoals schade aan de gezondheid, financiële schade of identiteitsfraude.

U dient te beoordelen of u een datalek aan de getroffen personen moet melden. De Autoriteit Persoonsgegevens kan u ook vragen om getroffen personen van het datalek te informeren als u dit niet zelf gedaan heeft.

De Autoriteit Persoonsgegevens heeft richtlijnen opgesteld. Dit document beschrijft welke stappen u moet ondernemen bij een datalek. Het document met beleidsregels kunt u hier downloaden.

Hoe moet u een datalek melden?

Via het Meldloket Autoriteit persoonsgegevens kunt u uw datalek melden. Daarnaast kunt u een bestaande melding van een datalek wijzigen. En u kunt uw melding intrekken. Op de website van de AP staat vanaf 1 januari 2016 een meldingsformulier. Hiermee kunt u uw datalek melden en kunt u aangeven of u betrokkenen gaat informeren en binnen welke termijn. De Autoriteit Persoonsgegevens kan contact met u opnemen om te verifiëren of de melding daadwerkelijk van u afkomstig is. In sommige situaties kan de Autoriteit Persoonsgegevens meer inhoudelijke vragen stellen over uw datalek.

Wat gebeurt er als u uw datalek niet meldt?

Vanaf 1 januari 2016 bent u verplicht om een datalek (dat leidt tot ernstige gevolgen voor de bescherming van persoonsgegevens) te melden bij het CBP. Wanneer u het lek ten onrechte niet meldt kan de Autoriteit Persoonsgegevens sancties opleggen. De maximale boete bedraagt € 810.000 of 10% van de jaarlijkse bedrijfsomzet per overtreding.

Hoe voorkomt u een datalek?

Zorg voor goede beveiliging van persoonsgegevens. Versleutel digitale informatie en behandel fysieke datadragers uiterst vertrouwelijk. Maak duidelijke afspraken met interne en externe verwerkers van uw bedrijfsinformatie. Stel daarbij protocollen op die in werking treden wanneer een datalek aan het licht komt.

Brantjes Data-Vernietiging biedt oplossing om datalekken te voorkomen wanneer u vertrouwelijk materiaal wilt afvoeren. Wij bieden veilige oplossingen voor gecertificeerde afvoer en vernietiging van archiefpapier, dagelijkse documenten en digitale datadragers. Zoals harde schijven, cd-roms en tapes. Al het aangeboden materiaal wordt gecertificeerd vernietigd waardoor een datalek voorkomen wordt.

Neem voor meer informatie contact op met een van onze specialisten.

Bronvermelding

Voor dit artikel hebben we gebruik gemaakt van onderstaande bronnen: