Meldplicht datalekken (AVG privacy)
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.
Dit gaat verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens, die alleen betrekking heeft op de gemelde datalekken.
Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.
In het privacystatement formulier meldplicht datalekken is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.
Let op: vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene verordening gegevensbescherming (AVG). Hoewel de meldplicht datalekken blijft bestaan, verandert er mogelijk ook wat voor u. Lees meer over de meldplicht datalekken in ons AVG-dossier.
De Wet bescherming persoonsgegevens is uitgebreid met de meldplicht datalekken en een boetebevoegdheid voor de toezichthouder (het College bescherming persoonsgegevens). Dat betekent dat iedere ondernemer in Nederland verantwoordelijk is voor de privacygevoelige data in zijn organisatie en bij overtreding een boete tegemoet kan zien.
Wat is een datalek eigenlijk?
Er is sprake van een datalek als derden, die geen toegang zouden mogen hebben tot bepaalde persoonsgegevens, toch die informatie in handen krijgen. Een datalek kan optreden als de servers van een bedrijf worden gehackt en gevoelige informatie wordt gestolen, maar ook als een medewerker een smartphone, laptop of usb-stick met gevoelige informatie verliest. Zelfs een geprinte lijst met klantgegevens die wordt gestolen, geldt als datalek.
Beleidsregels meldplicht datalekken
De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.
Overzichten meldingen datalekken
De AP publiceert in 2018 elk kwartaal een totaaloverzicht van alle gemelde datalekken. Daarnaast gaat de AP in een aantal sectorspecifieke overzichten dieper in op de datalekken uit bepaalde sectoren.