Op 1 januari 2016 is de Wet Meldplicht Datalekken van kracht geworden als onderdeel van de ‘Wet Bescherming Persoonsgegevens’ (Wbp). Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (voorheen het ‘College Bescherming Persoonsgegevens’) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
U als klant wordt in de Wet Meldpicht Datalekken genoemd als ‘verantwoordelijke’ voor de databestanden. AllSolutions wordt als SaaS leverancier in deze wet de ‘bewerker’ genoemd, ondanks het feit dat wij geen gegevens in uw databestand invoeren.
Organisaties die het verwerken van (persoons-)gegevens uitbesteden, zijn sinds 1 januari 2016 wettelijk verplicht met hun service-provider een specifieke overeenkomst af te sluiten. In een dergelijke bewerkersovereenkomst leggen beide partijen vast voor welke doeleinden de gegevens worden verwerkt, welke beveiligingsmaatregelen zijn genomen en welk toezicht de eigenaar van de gegevens mag uitoefenen.
AllSolutions heeft daarom, in overleg met de branchevereniging Nederland ICT, het voortouw genomen voor het opstellen van een bewerkersovereenkomst met afspraken voor zowel het verwerken van de persoonsgegevens als ook de procedure van de meldplicht bij datalekken. Op deze manier kunnen onze klanten op eenvoudige wijze aan hun wettelijke verplichting voldoen.
Hieronder vindt u extra informatie over de meldplicht datalekken – en wat deze voor u en uw organisatie betekent.
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens (AP). Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.
Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.
Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
U kunt een datalek melden via het meldloket datalekken.
De Autoriteit Persoonsgegevens slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.
Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). AllSolutions als SaaS leverancier wordt hierbij gezien als bewerker, ondanks het feit dat wij geen gegevens in uw databestand invoeren. Vandaar dat wij, samen met onze branchevereniging Nederland ICT, een bewerkersovereenkomst hebben opgesteld met afspraken voor zowel het verwerken van de persoonsgegevens als ook de procedure van de meldplicht bij datalekken.
Volgens de nieuwe wet bent u inderdaad verplicht een bewerkersovereenkomst af te sluiten met alle leveranciers die in contact zijn met persoonsgegevens die u in een databestand vastlegt.
U als klant bent volgens de wet verantwoordelijk voor de data.
AllSolutions wordt volgens de wet gezien als bewerker. Daarom hebben we besloten om samen met onze branchevereniging Nederland ICT een eenduidige bewerkersovereenkomst te maken voor al onze klanten. Dit document regelt de afspraken tussen u als klant en AllSolutions als leverancier van uw omgeving. U kunt deze overeenkomst zien als een document waarin AllSolutions aangeeft alle noodzakelijke voorzorgsmaatregelen te hebben getroffen om uw data veilig op te slaan. Op deze manier kunt u gemakkelijk aan uw wettelijke verplichting voldoen.
In deze overeenkomst worden aanvullende zaken geregeld, zoals het vastleggen van technische en organisatorische beveiligingsmaatregelen, de afgesproken procedures bij datalekken en afspraken over de verantwoordelijkheden van u als klant en van AllSolutions als uw leverancier.
In bijlage1 – kopje B geeft u aan welke persoonsgegevens u vastlegt, die bij een eventueel datalek zodanig specifiek zijn, dat u volgens de nieuwe wet een melding moet doen bij de ‘Autoriteit Persoonsgegevens’.
Wanneer u niet precies weet wat u hier moet invullen, dan kunt u contact opnemen met uw consultant bij AllSolutions.
Dat is juist. U als klant bent volgens de wet verantwoordelijk voor de vastgelegde data. In de overeenkomst maakt u met AllSolutions duidelijke afspraken omtrent de verwerking van de persoonsgegevens en de procedure bij eventuele datalekken, zodat beide partijen precies weten waar ze aan toe zijn. Vanuit AllSolutions zorgen wij ervoor te voldoen aan de beveiligingseisen en u als klant zorgt ervoor dat u er alles aan doet om geen data te lekken. Zie ook dit artikel dat recent online is verschenen.
De wet ‘Meldplicht datalekken’ is op 1 januari 2016 ingegaan. In het kader van deze nieuwe wet is het belangrijk dat u kunt aantonen dat u met uw leverancier(s) afspraken hebt gemaakt omtrent de verwerking van de persoonsgegevens en de procedure voor het melden van datalekken.
Heeft u de getekende bewerkersovereenkomst nog niet geretourneerd? Wilt u deze dan zo spoedig mogelijk doch uiterlijk 1 mei 2016 aan ons versturen?
Wilt u meer weten over de meldplicht datalekken? Kijk dan op deze pagina van de Autoriteit Persoonsgegevens. Hier vindt u ook het document met de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens.