U heeft het wellicht gehoord in het nieuws: in november 2015 hebben hackers persoonlijke gegevens over kinderen gestolen van speelgoedfabrikant VTech. Mocht dit uw bedrijf overkomen, dan bent u verplicht van zo’n datadiefstal meteen melding te maken bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens).
De meldplicht datalekken is op 1 januari 2016 opgenomen in de Wet Bescherming Persoonsgegevens (“WBP”). Deze wet geldt voor alle bedrijven en instanties die persoonsgegevens verwerken. Ook u verwerkt persoonsgegevens. Denk bijvoorbeeld aan uw personeelsadministratie of de persoonsgegevens die u van klanten heeft.
Van een datalek is sprake als er persoonsgegevens verloren zijn gegaan of in verkeerde handen kunnen zijn gekomen. Of u een melding moet doen, hangt onder andere af van het soort gelekte gegevens en de omvang van het lek. Een datalek van bijvoorbeeld ‘gevoelige’ gegevens moet worden gemeld. Voorbeelden hiervan zijn: gegevens over iemands gezondheid, salaris- en betalingsgegevens, gebruikersnamen, wachtwoorden, andere inloggegevens en burgerservicenummers. Ook lekken van gegevens van personen die tot een kwetsbare groep behoren, zoals ouderen of kinderen, moeten worden gemeld.
Het datalek moet vaak ook worden gemeld aan diegenen wiens gegevens gelekt zijn, als het waarschijnlijk is dat het lek negatieve gevolgen voor hen heeft. Daar moet in ieder geval van worden uitgegaan als de hierboven genoemde ‘gevoelige’ gegevens zijn gelekt. Ook als de betrokkenen kunnen worden geconfronteerd met bijvoorbeeld publicatie van de buitgemaakte gegevens, oplichting of financiële schade moeten zij worden ingelicht.
Autoriteit Persoonsgegevens
Op het ten onrechte niet melden van een datalek staat een boete die maximaal € 820.000,- bedraagt. Maar ook het onzorgvuldig omgaan met of slecht beveiligen van persoonsgegevens kan worden beboet. Om u te helpen te bepalen of u een datalek moet melden, kunt u de “Beleidsregels meldplicht datalekken” raadplegen op de website van de Autoriteit Persoonsgegevens (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken). Hierin staan veel voorbeelden van al dan niet meldplichtige situaties en een formulier om u te helpen een melding op te stellen.