19-09-2016  EVO krijgt veel vragen binnen over de nieuwe meldplicht. De Wet meldplicht datalekken en de uitbreiding van de bestuurlijke boetebevoegdheid van de Autoriteit Persoonsgegevens zijn begin dit jaar in werking getreden. 

Verantwoordelijk

Indien een bedrijf persoonsgegevens verwerkt, wordt het daarmee gekwalificeerd als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp). Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Als een derde de verwerking van persoonsgegevens verricht voor een verantwoordelijke, komt er een zogenoemde bewerker in beeld.

Boeterisico

Hiervoor sluiten bedrijven die verantwoordelijk zijn voor persoonsgegevens bewerkersovereenkomsten met bewerkers. Relevant is dat het boeterisico bij overtreding van de Wbp bij de verantwoordelijke blijft rusten. Daarom is het belangrijk om in een bewerkersovereenkomst een bepaling op te nemen over de aansprakelijkheid van de bewerker wanneer er sprake is van toerekenbaar tekortschieten in de nakoming van de verplichtingen volgens de bewerkersovereenkomst.

Datalek

Ook is met de nieuwe wet bepaald dat een datalek moet worden gemeld. Er is sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, doordat de beveiliging van een computersysteem niet in orde is. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen. Maar ook bij een hack, gestolen laptop, verkeerd geadresseerde e-mails of een verloren USB-stick is sprake van een datalek.

Contactformulier

Op het moment dat een inbreuk op de vereiste beveiligingsmaatregelen wordt geconstateerd die potentieel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, moet een bedrijf als verantwoordelijke onmiddellijk de Autoriteit persoonsgegevens inlichten. Dit kan via een contactformulier op de website van de Autoriteit persoonsgegevens (het meldloket datalekken Autoriteit persoonsgegevens). De wet vereist bovendien dat er een protocol datalekken wordt gehanteerd binnen een organisatie.

Meer informatie over de verplichtingen en download model