Velden zijn niet correct ingevuld

Wet meldplicht datalekken. Wat moet u weten?

Op 15 december 2015 hebben de Europese Commissie, het Europees Parlement en de Raad overeenstemming bereikt over de inhoud van de nieuwe privacyverordening. De regels voor de verwerking van persoonsgegevens zijn op grond van deze verordening met ingang van 1 januari 2016 aangescherpt door de invoering van de Wet meldplicht datalekken.

Wat houdt de Wet meldplicht datalekken in?

Door een inbreuk in het systeem of door een menselijke fout kunnen persoonsgegevens door bijvoorbeeld diefstal, verlies of misbruik op straat belanden. Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Die meldplicht houdt in dat zowel private als publieke organisaties direct een melding moeten maken bij de Autoriteit Persoonsgegevens. Het kan zijn dat het datalek ook gemeld moet worden aan de betrokkenen; de mensen van wie de gegevens zijn gelekt. 

Wat moet u doen om de bescherming van persoonsgegevens goed te regelen?

Op grond van artikel 14 Wet bescherming persoonsgegevens (Wbp) dient de verantwoordelijke die persoonsgegevens laat verwerken er zorg voor te dragen dat de bewerker voldoende waarborgen biedt ten aanzien van technische en organisatorische beveiligingsmaatregelen. De maatregelen die worden getroffen moeten 'passend' zijn maar de wet geeft daar geen verdere invulling aan. Volgens de Memorie van Toelichting ligt in het begrip 'passend' besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het begrip 'passend' duidt ook op een redelijke verhouding tussen de genomen maatregelen en de risico’s bij de verwerking van de gegevens.

De te treffen maatregelen bestaan uit:

  • maatregelen die onbevoegde toegang voorkomen waaronder toegangscontrole, controle op verwerkingen en het bijhouden van logbestanden
  • maatregelen die wijziging/verlies van de persoonsgegevens voorkomen (encryptie, etc.)
  • maatregelen die portabiliteit (de mogelijkheid om persoonsgegevens over te zetten naar een nieuwe dienstverlener) aan te passen of in te zien en de mogelijkheid persoonsgegevens inclusief back-ups permanent te wissen indien daartoe aanleiding is.

Richtsnoeren beveiliging van persoonsgegevens

Het College bescherming persoonsgegevens (CBP) heeft ‘Richtsnoeren beveiliging van persoonsgegevens’ gepubliceerd, waarmee uitgelegd wordt hoe zij de beveiligingsnormen uit de Wet bescherming persoonsgegevens toepast. Deze zijn te raadplegen via www.cbpweb.nl. De richtsnoeren bevatten punten die in ieder geval in een bewerkersovereenkomst opgenomen moeten worden.

Bewerkersovereenkomst: wat legt u vast?

Met het oog op de verplichting dient een bewerkersovereenkomst opgesteld te worden. In een bewerkersovereenkomst moet worden opgenomen welke persoonsgegevens worden verwerkt. Het kan voorkomen dat niet alle persoonsgegevens die worden verwerkt even gevoelig zijn. Ook kan het zijn dat niet voor alle verwerkte persoonsgegevens dezelfde afspraken gelden. Er wordt in de bewerkersovereenkomst daarom vaak gekozen voor een differentiatie in persoonsgegevens. Verder moet opgenomen worden welke (groepen) medewerkers toegang hebben tot welke persoonsgegevens en welke handelingen zij uit mogen voeren met de persoonsgegevens. Naarmate de gegevens een gevoeliger karakter hebben, worden zwaardere eisen gesteld aan de beveiliging. Er is geen verplichting om steeds de zwaarste beveiligingsmaatregelen te nemen.

Welke consequenties heeft het niet melden van een datalek?

Wie data laat lekken of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, maakt kans op een boete. Ook wanneer de overtreding niet opzettelijk is gepleegd, maar er wel sprake is van ernstig verwijtbare nalatigheid. Deze boetes kunnen per overtreding oplopen tot € 820.000 of 10% van de jaaromzet.

Uw zaken goed geregeld

Door de strengere regels komt er veel op uw pad. Wilt u dat uw zaken goed zijn geregeld en dat u voldoet aan de nieuwe wet? Dan helpt Actio Advocaten u graag met een op uw organisatie toegespitste bewerkersovereenkomst. Neem voor meer informatie gerust eens contact op met een van onze advocaten in Assen of Hoogeveen.



Naar blogverzicht