Meldplicht datalekken bij CBP per 1 januari 2016

De meldplicht datalekken gaat op 1 januari 2016 in.

Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Datalek
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Consultatie richtsnoeren meldplicht datalekken
Het CBP heeft richtsnoeren opgesteld over de meldplicht datalekken. Deze richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij het CBP en eventueel aan de betrokkenen.

Het CBP nodigt belanghebbenden uit om te reageren op de conceptversie van de richtsnoeren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de richtsnoeren.

Bron: CBP, september 2015