Meldplicht datalekken

Meldplicht datalekken

Vanaf 2016 is in Nederland de meldplicht datalekken van kracht. Onder de AVG blijft de meldplicht grotendeels hetzelfde, er worden wel strengere eisen gesteld aan de registratie van datalekken. De boetes worden met ingang van de AVG hoger.

Je moet bij een datalek betrokken informeren en het datalek melden bij de Autoriteit Persoonsgegevens.

Zorg ervoor dat je medewerkers op de hoogte zijn
van de AVG en datalekken.

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is.

Als er inbreuk is op de beveiliging van persoonsgegevens, dan is sprake van een datalek. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Voorbeelden datalekken

  • Een kwijtgeraakte USB-stick met klantgegevens.
  • Medewerker klinkt op een besmet linkje Een inbraak in een databestand door een hacker.
  • Een bijlage met klant gegevens verzonden aan de verkeerde persoon.

Wanneer een datalek melden?
Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken zonder onnodige vertraging, na de ontdekking van het datalek, bij de toezichthouder gemeld moeten worden.

Een lek kan ernstig zijn als het een grote hoeveelheid data betreft, maar ook als het om gevoelige gegevens gaat.

Voorbeelden

  • Inloggegevens
  • Financiële gegevens
  • Kopieën van identiteitsbewijzen
  • School- of werkprestaties
  • Gegevens die betrekking hebben op levensovertuiging
  • Gegevens die betrekking hebben op gezondheid

Gevolgen niet tijdig melden van een datalek?

Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder Autoriteit Persoonsgegevens (AP). Een boete bij een datalek kan oplopen tot
€ 820.000,- of 10% van de jaaromzet.

Een organisatie moet naast een officieel melding van een datalek ook de getroffen personen informeren, in het datalek ongunstige gevolgen heeft zoals: