De Wet Melding Datalekken

De meldplicht datalekken in het kort. Wij beginnen met het getrapte model van de meldplicht, dat er als volgt uit ziet:

meldplicht datalekken

Dit model is afkomstig uit de officiële beleidsregels van het AP, zie ook de website voor de details.

Als organisatie ben je dus verplicht om een melding te doen bij het AP zodra er persoonsgegevens zijn gelekt door een beveiligingsincident. Het meest voor de hand liggende voorbeeld is een hack waarbij kwaadwillenden toegang hebben gekregen tot je klantgegevens. Maar de meldplicht datalekken gaat zelfs zover dat je het ook moet melden als je een USB-stick kwijtraakt met persoonlijke gegevens of een mailtje met persoonsgegevens naar de verkeerde persoon stuurt. Wanneer je er achter komt dat er sprake is van een datalek moet je dit, ‘voor zover mogelijk’ , binnen 72 uur melden bij het AP.

Als je andere gegevens verliest dan persoonsgegevens, dan hoef je dit niet te melden. Deze gegevens vallen namelijk niet onder datalekken. Denk hierbij aan de broncode van je software of een lijst met bedrijfsnamen uit je CRM-systeem.

Wanneer moet je ook de betrokkenen informeren?

Naast dat je een melding moet maken bij het AP, moet je in ernstige gevallen ook de betrokkenen (dus de mensen van wie de persoonsgegevens zijn gelekt) op de hoogte te stellen. Je bent hiertoe pas verplicht als ‘het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer’. Je kunt hierbij denken aan discriminatie, identiteitsfraude of reputatieschade. Dit lijkt een beetje vaag omschreven, maar in de praktijk zal het altijd zo zijn dat het AP jou laat weten of je wel of niet de betrokkenen op de hoogte moet stellen.

Wanneer krijg je een boete opgelegd?

Wanneer je een melding hebt gemaakt bij het AP krijg je natuurlijk niet gelijk een boete opgelegd. Pas als het AP kan aantonen dat het datalek het gevolg is geweest van ernstige verwijtbare nalatigheid van jouw kant, zal het AP je een boete opleggen. Ook als je een datalek niet (tijdig) meldt, of als je zonder toestemming persoonsgegevens verwerkt, kun je een boete krijgen. De hoogte van de boete kan oplopen tot € 820.000 of 10 procent van de jaaromzet.

Voorkom een datalek met de juiste voorzorgsmaatregelen

Het mag duidelijk zijn: je wilt überhaupt niet bij het AP aan hoeven te kloppen. Maar we weten ook dat een volledig veilig internet een utopie is. Dat weet het AP ook. Het doel van de meldplicht is dus ook niet om lekken volledig te voorkomen, maar om awareness te creëren bij partijen die werken met persoonsgegevens en hiermee indirect zoveel mogelijk schade te voorkomen.

Met de juiste voorzorgsmaatregelen kun je de kans op een datalek, en een boete, zoveel mogelijk verkleinen.

  1. Stel een procedure op voor als het onverhoopt toch misgaat. Het scheelt de helft aan paniek als je weet wat je moet doen, en wie wat moet doen.
  2. Ga na of alle partijen die ook jouw persoonsgegevens verwerken, zoals een CRM-aanbieder, de juiste maatregelen hebben getroffen en de gegevens veilig opslaan. Maak ook goede afspraken met deze derde partijen over hoe ze jou op de hoogte stellen wanneer er sprake is van een datalek. Wanneer er sprake is van een datalek bij een derde partij moet jij als website-eigenaar nog steeds het datalek melden bij het AP.
  3. Neem de juiste veiligheidsmaatregelen voor je site en zorg ervoor dat deze goed beveiligd is tegen kwaadwillenden. Wanneer je de gangbare veiligheidsmaatregelen hebt getroffen, wordt het voor het AP ook lastiger om je ernstige nalatigheid te verwijten.

Wij hebben voor u een WMD pakket waarbij wij alle procedures, aanpassingen in arbeids- en andere contracten, bewerkersovereenkomsten et cetera voor uw opstellen zodat u de juiste maatregelen getroffen hebt.  Benieuwd naar onze referenties? Bel of mail ons 088-133 11 33 of service@deraadgevers.nl

Datapreventie is de privacybescherming die voorkomt in elk rechtsgebied en is in feite een juridisch geheel dat boven alle rechtsgebieden uitstijgt. Veel organisaties, werkgevers, of werknemers in verschillende bedrijfstakken krijgen wellicht te maken met privacybescherming.

Privacybescherming

Met privacy wordt bedoeld de bescherming van tot personen herleidbare gegevens. Organisaties krijgen regelmatig te maken met een van de volgende gebieden gerelateerd aan privacybescherming:

  • Bescherming van BSN-nummers (ter voorkoming van identiteitsfraude);
  • Bescherming van financiële gegevens (hoeveel u verdient, welke keuzes u maakt, et cetera);
  • Bescherming van medische gegevens (welke ziektes u heeft, welke medicatie u neemt, et cetera), enzovoorts.

Deze tot personen herleidbare gegevens dienen beschermd te worden.

Wet Bescherming Persoonsgegevens (Wbp)

De Wet Bescherming Persoonsgegevens is één van de belangrijkste wetgevingen binnen de privacybescherming.

Inmiddels is per 1 januari 2016 de Wet Bescherming Persoonsgegevens (Wbp) aangepast. Dit maakt het mogelijk dat de Autoriteit Persoonsgegevens (AP), dé instantie die controleert of de Wbp wordt nageleefd, hogere boetes dan voorheen kan opleggen.

De boetes variëren van de € 20.000 tot ruim € 800.000 bij multinationals. Bedrijven, die het verlies van persoonsgegevens (onbevoegde verwerk inbegrepen) niet, althans niet tijdig melden aan de AP, lopen het risico een boete opgelegd te krijgen.

Voor bedrijven is het dan ook erg belangrijk om ervoor te zorgen dat zij een goed systeem hebben, waarin waarborging van persoonsgegevens wordt verzekerd en het risico op een datalek zo minimaal mogelijk wordt. De Raadgevers helpt ondernemers hierbij.

Datapreventie bij De Raadgevers

Wij doen dat door in de eerste plaats cliënten te helpen om persoonsgegevens te beschermen door middel van het uitvoeren van een audit van uw onderneming en door vervolgens alle zaken, die uit de audit naar voren komen, op te lossen.

Zo maken wij voor cliënten overeenkomsten en/of bedingen over privacy gerelateerde onderwerpen. Tevens adviseren wij cliënten op welke wijze zaken dienen te worden aangepakt.
De Raadgevers neemt de bescherming van persoonsgegevens heel serieus.

Wij hebben al in een vroeg stadium gezorgd voor een aanpassing van onze algemene voorwaarden in het kader van de Wbp. Bovendien heeft De Raadgevers, alhoewel niet verplicht voor bedrijven onder de 250 medewerkers, een eigen Functionaris Persoonsgegevens.

Kortom, voor al uw vragen ten aanzien van privacybescherming en privacy-gerelateerde onderwerpen kunt u bij ons terecht.

Heeft u vragen over datapreventie?

Neem dan vrijblijvend contact met ons op:

of vul ons contactformulier in

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Start typing and press Enter to search