Netherlands

Loading

Meldplicht Datalekken: van hack tot USB-stick

Terwijl de nieuwe Meldplicht Datalekken volop media-aandacht krijgt, zijn er maar weinig organisaties die de precieze criteria kennen. Die onwetendheid is een risico: als u een incident vergeet te melden terwijl dat wel had gemoeten, riskeert u een boete die kan oplopen tot EUR 820.000. Bent u voldoende op de hoogte?

Een datalek wordt vaak geassocieerd met een moedwillige computerinbraak waarbij talloze persoonsgegevens op straat komen te liggen. Maar dat is slechts een voorbeeld, de definitie is breder: ook ‘kleinere’ incidenten zoals een kwijtgeraakte USB-stick met persoonsgegevens en een gestolen laptop worden als datalek aangemerkt. Al dit soort incidenten moeten sinds 1 januari bij de Autoriteit Persoonsgegevens (AP) worden gemeld.

Definitie
Wanneer is er precies sprake van een datalek? De AP hanteert een ruime definitie: het moet gaan om een ‘defecte’ beveiliging van persoonsgegevens (beschreven in artikel 13 van de Wet bescherming persoonsgegevens), waardoor die gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiliging juist bescherming had moeten bieden. Onder een datalek valt dus niet alleen het daadwerkelijk vrijkomen (lekken) van gegevens, maar ook de kans daarop. Ook de onrechtmatige verwerking van gegevens wordt als datalek beschouwd.

Online naslagwerk
Omdat de Meldplicht Datalekken nieuw is en de boetes voor een nagelaten melding hoog zijn, heeft de AP de beleidsregels rond de meldplicht online beschikbaar gesteld. Het document telt maar liefst 62 pagina’s. U leest er niet alleen wanneer van een datalek sprake is, maar ook of de meldplicht überhaupt op u van toepassing is en – als dat zo is – hoe en wanneer u een lek dient te melden.