Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Bedrijven en overheden die persoonsgegevens verwerken, dienen goed op de hoogte te zijn van wat deze nieuwe wet voor hen betekent. Zij zijn hierdoor namelijk verplicht melding te maken van beveiligingsincidenten waarbij persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Bedrijven die geen melding maken, riskeren een boete die kan oplopen tot €820.000 of 10% van de jaaromzet.
Wie betreft het?
De nieuwe wet specificeert eigenlijk twee rollen, die van verantwoordelijke en die van bewerker. De verantwoordelijke is degene die het doel en de middelen van verwerking bepaalt. Bewerkers zijn veelal ICT-bedrijven: externe partijen die de gegevens in opdracht van de verantwoordelijke verwerken. Een bewerkersovereenkomst is een goede manier om verantwoordelijkheden en aansprakelijkheden voor beide partijen vast te leggen. Wij bieden u graag een leidraad voor het opstellen van een dergelijke overeenkomst.
Wie moet aan wie melden? Hoe en wanneer?
Een datalek moet gemeld worden indien dit ernstige nadelige gevolgen heeft of kan hebben voor de bescherming van persoonsgegevens van een betrokkene (data subject). Het is aan de verantwoordelijke om een datalek zo spoedig mogelijk, maar uiterlijk 72 uur na constatering, te melden aan de Autoriteit Persoonsgegevens (AP). Datalekken worden doorgaans door de bewerker ontdekt en deze dient de verantwoordelijke op juiste en tijdige wijze te informeren zodat de melding gedaan kan worden.
Indien het datalek ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van betrokkenen, dient de verantwoordelijke ook hen zo snel mogelijk te informeren. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Hierbij kan men denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Melding kan gedaan worden via het online meldloket dat de Autoriteit Persoonsgegevens op haar website beschikbaar maakt: www.autoriteitpersoonsgegevens.nl.
Chubb helpt u graag verder
Bovenstaande geeft in het kort weer wat de meldplicht datalekken inhoudt. We informeren u graag specifieker over o.a. voorbeelden van datalekken, wie het meeste risico loopt en hoe bedrijven zich het beste kunnen voorbereiden op calamiteiten. Hiervoor hebben wij, in samenwerking met advocatenkantoor Cordemeyer en Slager, een document opgesteld dat we u graag ter beschikking stellen. U kunt ook onze Informatiebeveiliging Best Practices raadplegen voor praktische tips die zorgen voor een betere beveiliging en minder risico’s.
