Meldplicht datalekken per 1 januari 2016 van kracht

Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

U als klant wordt in deze wet genoemd als ‘verantwoordelijke’ voor de databestanden. AllSolutions wordt als SaaS leverancier in deze wet genoemd als ‘bewerker’.

Wij zijn op dit moment in gesprek met onze branchevereniging Nederland ICT om een document op te stellen waarin u als ‘verantwoordelijke’ en AllSolutions als ‘bewerker’ een overeenkomst op dit gebied afsluiten. Hierin wordt duidelijk beschreven welke afspraken er zijn gemaakt rond datalekken. Samen met de branchevereniging streven we ernaar om deze zogenaamde ‘bewerkersovereenkomst’ zo snel als mogelijk aan onze klanten beschikbaar te stellen.

Hieronder vindt u extra informatie over de meldplicht datalekken – en wat deze voor u en uw organisatie betekent.

Wat is een datalek?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Vragen over meldplicht datalekken

Wat betekent de meldplicht datalekken voor mij als organisatie?

Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij het CBP. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.

Hoe kan ik mij voorbereiden op de meldplicht datalekken?

U kunt nu al maatregelen treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken per 1 januari 2016. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt, goed beveiligt. Daarnaast kunt u bijvoorbeeld:

  • goed incidentenbeheer inrichten;
  • beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP;
  • nadenken over hoe u de betrokkenen gaat informeren bij een datalek;
  • nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met uw bewerkers controleren.

Moet ik alle datalekken melden bij het CBP?

Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Hoe meld ik een datalek aan het CBP?

Zodra de meldplicht datalekken is ingegaan, staat er een formulier op de website van het CBP waarmee u een datalek kunt melden.

Wat doet het CBP met mijn melding van een datalek?

Het CBP slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.

Meer informatie

Wilt u meer weten over de meldplicht datalekken, kijk dan op deze pagina van het College Bescherming Persoonsgegevens.