Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
U als klant wordt in deze wet genoemd als ‘verantwoordelijke’ voor de databestanden. AllSolutions wordt als SaaS leverancier in deze wet genoemd als ‘bewerker’.
Wij zijn op dit moment in gesprek met onze branchevereniging Nederland ICT om een document op te stellen waarin u als ‘verantwoordelijke’ en AllSolutions als ‘bewerker’ een overeenkomst op dit gebied afsluiten. Hierin wordt duidelijk beschreven welke afspraken er zijn gemaakt rond datalekken. Samen met de branchevereniging streven we ernaar om deze zogenaamde ‘bewerkersovereenkomst’ zo snel als mogelijk aan onze klanten beschikbaar te stellen.
Hieronder vindt u extra informatie over de meldplicht datalekken – en wat deze voor u en uw organisatie betekent.
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij het CBP. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.
U kunt nu al maatregelen treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken per 1 januari 2016. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt, goed beveiligt. Daarnaast kunt u bijvoorbeeld:
Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.
Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
Zodra de meldplicht datalekken is ingegaan, staat er een formulier op de website van het CBP waarmee u een datalek kunt melden.
Het CBP slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.
Wilt u meer weten over de meldplicht datalekken, kijk dan op deze pagina van het College Bescherming Persoonsgegevens.