Meldplicht datalekken | Artikel 34a WBP

0
170

Meldplicht datalekken | Artikel 34a WBP
Per 1 januari 2016 geldt de meldplicht datalekken welke inhoudt dat bij een ernstig data lek binnen een organisatie direct een melding moet worden gedaan bij de Autoriteit Persoonsgegevens. In bepaalde gevallen moeten er ook een melding worden verricht aan de betrokken personen waarvan persoonsgegevens zijn gelekt.


Download wettekst Artikel 34a WBP 

Download beleidsregels Meldplicht datalekken


Datalek
Er is sprake van een datalek als zich een beveiligingsincident heeft voorgedaan, zoals bijvoorbeeld de diefstal van een laptop of een inbraak door een hacker.  Vervolgens moeten er bij dit beveiligingsincident persoonsgegevens verloren zijn gegaan, onrechtmatig zijn verwerkt of de onrechtmatige verwerking van de persoonsgegevens zijn niet uit te sluiten.

Melding bij de Autoriteit Persoonsgegevens
Er moet een melding bij de Autoriteit Persoonsgegevens gedaan worden als het datalek ernstige nadelige gevolgen voor de bescherming van persoonsgegevens heeft of als de kans hier op aanzienlijk is. Hierbij speelt de aard van de gelekte persoonsgegevens een rol zodat bij persoonsgegevens van gevoelige aard een melding over het algemeen noodzakelijk is.

Persoonsgegevens van gevoelige aard zijn bijvoorbeeld:

  • bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp, bijvoorbeeld persoonsgegevens over iemands godsdienst, politieke gezindheid, gezondheid, en strafrechtelijke persoonsgegevens;
  • gegevens over de financi√ęle of economische situatie van de betrokkene, bijvoorbeeld gegevens over schulden;
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, bijvoorbeeld gegevens over verslavingen of relatieproblemen;
  • gebruikersnamen, wachtwoorden en andere inloggegevens, de mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven;
  • gegevens die kunnen worden misbruikt voor (identiteits)fraude, ¬†bijvoorbeeld kopie√ęn van ID-bewijzen en het burgerservicenummer.

Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. Een melding moet zonder vertraging gedaan worden en waar mogelijk niet later dan 72 uur na ontdekking van het datalek.

Melding aan de betrokkene
Er moet een melding aan de betrokkene worden gedaan als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van deze betrokkene, zo kan door verlies of misbruik van persoonsgegevens een betrokkene in zijn belangen worden geschaad. Daarbij kan bijvoorbeeld gedacht worden aan (identiteits) fraude of aantasting van zijn goede naam.  Als er persoonsgegevens van gevoelige aard zijn gelekt, is een melding aan de betrokkene over het algemeen noodzakelijk.

Zie voor meer informatie de website van de Autoriteit Persoonsgegevens.