Bij een van mijn relaties werd onlangs op klaarlichte dag, zeer brutaal na insluiping de laptop van het bureau gestolen. Op de computer staan databestanden met klantgegevens; privacygevoelige informatie dus. Nu had hij vaag iets gehoord over een nieuwe meldplicht bij verlies of diefstal van privacygevoelige data.
Bij de aangifte vroeg hij de politie er naar, maar die had hier geen enkele weet van. Toch maar eens verder gezocht en uitgekomen bij de Autoriteit Persoonsgegevens en daar staat groot op de site dat u in het kader van de Wet bescherming persoonsgegevens vanaf 1 januari 2016 de wettelijke verplichting heeft zogeheten ‘datalekken’ bij de autoriteit te melden. Doet u dat niet of te laat, kunt u een boete tegemoet zien die kan oplopen tot – schrik niet – € 820.000. Daar valt de vermaledijde transitievergoeding bij de WWZ bij in het niet. U kunt er zomaar aan failliet gaan.
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens).
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld.
Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.
Deze beleidsregels vallen onder het verplichte leesvoer en ik beveel u daarom van ganser harte aan in te loggen op autoriteitpersoonsgegevens en u daar goed te laten informeren.
Fons Metsaars | Branchevernieuwing & Herpositionering