01-01-2016
Meldplicht datalek
"Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking" aldus het CBP. Het noemt de volgende voorbeelden van een datalek: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.
Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer.
Wat moet je melden?
- de aard van de inbreuk;
- de instanties waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- de maatregelen die je bedrijf heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.
Hoe kan ik mijn bedrijf op deze nieuwe regels voorbereiden?
- goed incidentenbeheer (beveiliging + calamiteitenplan)
- beslissen wie in je bedrijf datalekken gaat beoordelen en melden bij het CBP
- denk na over hoe je klanten en leveranciers gaat informeren bij een datalek;
- denk na over hoe je wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
- controleer afspraken met je medewerkers over het verstrekken van gegevens aan derden (zowel telefonisch als digitaal).