InfoNu.nl > Zakelijk > Juridisch > Datalek; wat is het en wanneer moet je het melden?

Datalek; wat is het en wanneer moet je het melden?

Datalek; wat is het en wanneer moet je het melden? Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra een ernstig datalek is ontdekt. Deze meldplicht geldt voor overheden en bedrijven. Soms moet een datalek niet alleen aan de Autoriteit Persoonsgegevens worden gemeld maar ook aan de personen van wie gegevens zijn gelekt. Met de verplichting tot het melden van datalekken wil de overheid bevorderen dat bedrijven en overheden zorgvuldig omgaan met persoonsgegevens. Ieder mens heeft immers recht op eerbiediging en bescherming van de persoonlijke levenssfeer.

Wat is een datalek?

Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan. Ook is sprake van een datalek wanneer weliswaar geen persoonsgegevens verloren zijn gegaan maar waar niet redelijkerwijs kan worden uitgesloten dat deze onrechtmatig zullen worden verwerkt.

Een persoonsgegeven is ieder gegeven m.b.t. een geïdentificeerde of te identificeren persoon. Iemand is identificeerbaar wanneer zonder veel inspanning kan worden vastgesteld om wie het gaat. Gegevens kunnen direct of indirect tot identificatie leiden. Directe identificerende gegevens zin die gegevens die zonder veel omwegen tot de identiteit van iemand leiden. Vaak is er dan sprake van een combinatie van verschillende gegevens zoals bv. naam, adres en geboortedatum. Wanneer meer stappen genomen moeten worden om de identiteit te achterhalen met de gelekte persoonsgegevens dan is sprake van indirect identificerende gegevens.

Wanneer moet een datalek worden gemeld?

Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens wanneer er een aanzienlijke kans is dat het datalek nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Daarnaast moeten de personen wier gegevens zijn gelekt ook geïnformeerd worden zodra het waarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. De waarschijnlijkheid van nadelige gevolgen zal toenemen naarmate meer gegevens van dezelfde personen zijn gelekt en naarmate deze minder versleuteld zijn. Verder geldt dat naarmate de gelekte gegevens gevoeliger zijn dat sneller melding noodzakelijk is. Persoonsgegevens van gevoelige aard zijn o.a.:
  • Gegevens over godsdienst, levensovertuiging, ras, politieke gezindheid, geaardheid, lidmaatschap van vakvereniging, en strafrechtelijke persoonsgegevens over onrechtmatig of hinderlijk gedrag i.v.m. een opgelegd verbod n.a.v. dat gedrag
  • Gegevens over de financiële of economische situatie van de betrokkene
  • Gegevens die kunnen leiden tot stigmatisering zoals gokverslaving, schoolprestaties, werk of relatieproblemen
  • Gebruikersnamen, wachtwoorden en andere inloggegevens
  • Gegevens die kunnen worden gebruikt voor identiteitsfraude zoals het burgerservicenummer en kopieën van identiteitsbewijzen

Wie is verantwoordelijk?

De verplichting om een datalek te melden rust bij de verantwoordelijke en niet bij degene die de gegevens verwerkt. De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer persoonsgegeven buiten het bedrijf bij een andere partij worden opgeslagen dan is die andere partij slechts verwerker. Het bedrijf dat de persoonsgegevens gebruikt blijft verantwoordelijk.

Ook wanneer slechts van één of enkele personen gevoelige persoonsgegevens zijn gelekt, is een melding verplicht.

De melding aan de betrokkene

Bij het lekken van gevoelige persoonsgegevens moet vrijwel altijd ook een melding aan de personen van wie gegevens zijn gelekt worden gedaan. Zijn er andere gegevens gelekt dan moet er een afweging worden gemaakt over de waarschijnlijkheid dat zij daar nadelige gevolgen van zullen ondervinden.

Het idee hierachter is dat wanneer je weet dat je gegevens zijn gelekt je zelf maatregelen kunt nemen ter voorkoming van verdere schade.

Gevolgen niet melden

De Autoriteit Persoonsgegevens kan een boete opleggen aan bedrijven en overheden die ten onrechte een datalek niet melden. In 2016 is de maximale boete 820.000,-. Indien de overtreding op de regel om een datalek te melden niet opzettelijk is gepleegd en geen sprake is van ernstige verwijtbare nalatigheid dan volgt i.p.v. een boete een bindende aanwijzing.
© 2016 - 2019 Goedbekeken, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
AVG: Wat zijn de categorieën van persoonsgegevens?AVG: Wat zijn de categorieën van persoonsgegevens?De invoering van dezelfde Europese privacywetgeving op 25 mei 2018 in de landen van de EU heeft geleid tot de implementa…
De AVG beschermt de privacy van iedereenDe AVG beschermt de privacy van iedereenOp 25 mei 2018 is officieel de nieuwe Europese privacywet in werking getreden: de AVG. Deze afkorting staat voor Algemen…
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
AVG: Wanneer mag een organisatie persoonsgegevens verwerken?AVG: Wanneer mag een organisatie persoonsgegevens verwerken?In de Algemene Verordening Gegevensbescherming (AVG) staan de belangrijkste regelingen omtrent de privacywetgeving, ofte…
AVG: Privacywetgeving EUAVG: Privacywetgeving EUOp 25 mei 2018 is de privacywetgeving in de hele Europese Unie (EU) ingevoerd. In Nederland wordt deze wet de Algemene v…
Bronnen en referenties
  • https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf

Reageer op het artikel "Datalek; wat is het en wanneer moet je het melden?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Goedbekeken
Laatste update: 26-02-2016
Rubriek: Zakelijk
Subrubriek: Juridisch
Bronnen en referenties: 1
Schrijf mee!