Beheer

Juridische zaken
datalek

13 vragen over de Meldplicht Datalekken

De meldplicht datalekken treedt 1 januari 2016 in werking. 13 onduidelijke punten opgehelderd.

datalek © Shutterstock
25 juli 2016

1. Wat is een datalek?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen ­geprinte klantenlijst evengoed een datalek vormen. Het gaat hierbij enkel om persoonsgegevens. Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie zijn voor het ­bedrijf ook kostbare informatie, maar vallen niet onder de gangbare ­definitie van datalek en hoeven dus niet gemeld te worden.

2. Wie moet een datalek melden?
De meldplicht geldt voor alle (rechts)personen en organisaties die verantwoordelijk zijn voor de verwerking van persoonsgegevens. Wanneer bij deze (rechts)personen of organisaties een ‘inbreuk op de beveiliging’ heeft plaats gevonden die nadelige gevolgen heeft of kan hebben voor de bescherming van persoonsgegevens, moet zij dat melden aan het College bescherming persoonsgegevens (CBP). De verplichting om te melden hangt af van de ernst van het datalek.

3. Wanneer gaat de meldplicht in?
De Meldplicht Datalekken gaat komend jaar in, dus op 1 januari 2016.

4. Aan wie moet het datalek gemeld worden?
De melding moet in elk geval gedaan worden aan het College bescherming persoonsgegevens (CBP). Daarnaast moet een datalek gemeld worden aan ‘betrokkenen’ als die inbreuk ongunstige gevolgen kan ­hebben voor hun persoonlijke levenssfeer.

5. Hoe moet een datalek gemeld worden?
Op de website van het CBP – www.cbpweb.nl – zal vanaf 1 januari 2016 een formulier te vinden zijn waarmee een datalek gemeld kan worden.

6. Wat gebeurt als je een datalek niet meldt?
Het CBP kan dan een boete geven en een flinke ook. De maximale boete is 810.000 euro, of als dat niet passend is, kan deze zelfs oplopen tot 10 procent van de totale (wereldwijde) jaaromzet.

7. Welke datalekken hoeven niet gemeld te worden?
Datalekken hoeven niet gemeld te worden als de gelekte persoonsgegevens zo zijn beveiligd – door bijvoorbeeld encryptie – dat ze onbegrijpelijk of ontoegankelijk zijn voor onbevoegden.

8. Er was toch al een meldplicht?
Ja, dat is de meldplicht volgens de Telecommunicatiewet voor telecomproviders. Die geldt voor veiligheidsinbreuken met impact voor de continuïteit van de dienstverlening en voor datalekken. Deze meldplicht blijft bestaan, maar verandert per 1 januari wel. Tot die datum moeten de telecomproviders een datalek melden bij de Autoriteit Consument en Markt. Met ingang van komend jaar moeten ook zij datalekken ­melden bij het CBP.

9. Is de nieuwe meldplicht niet wat vaag omschreven?
Zeker wel. Wat is bijvoorbeeld een ‘ernstig lek’? Wat zijn ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’? En wat zijn ‘passende beveiligingsmaatregelen’ die geëist worden van de verwerkers van persoonsgegevens?

10. Hoe kun je daarmee dan uit de voeten?
Het CBP brengt daarvoor binnenkort zogeheten richtsnoeren uit die duidelijkheid moeten verschaffen. Ze helpen in elk geval om te bepalen of sprake is van ‘waarschijnlijke ongunstige gevolgen’ voor de persoonlijke levenssfeer van betrokkenen. Ook moeten ze het antwoord bieden op de vraag of de getroffen technische beschermingsmaatregelen de ­gegevens inderdaad onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden.

11. Wanneer zijn die richtsnoeren te verwachten?
Een precies tijdstip is nog niet bekend. Het CBP verwacht dit najaar al wel ‘consultatiedocumenten’ klaar te hebben voor deze richtsnoeren.

12. Is er geen Europese meldplicht datalekken?
Nog niet. Alleen voor telecombedrijven geldt een EU-brede meldplicht. Het Europees Parlement heeft in maart 2014 al voor een hervorming van de gegevensbescherming gestemd. Daar zit ook een uitbreiding van de meldplicht datalekken bij. Die moet echter nog langs wat Europese gremia voor verdere goedkeuring. Diverse lidstaten en ook grote technologiebedrijven maken bezwaar tegen de strengere regelgeving. Deze maand zal hierover vergaderd worden in Brussel. Daarna kan het opstellen van de definitieve juridische teksten beginnen.Als het meezit treedt deze meldplicht in 2017 in werking.

13. Wat betekent dat voor de Nederlandse meldplicht?
Een Europese verordening heeft rechtstreekse werking. Dus de regelgeving hoeft niet in de Nederlandse wetgeving te worden opgenomen om hier te gelden. Elke lidstaat krijgt wel twee jaar de tijd om de eigen wetgeving in lijn te brengen met de Europese meldplicht.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!