Meldplicht datalekken

Met ingang van 1 januari 2016 is een wijziging van de Wet bescherming persoonsgegevens in werking getreden, die onder andere een meldplicht regelt voor datalekken. We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden moeten hebben. Het kan gaan om uitgelekte computerbestanden, maar ook een gestolen geprint dossier valt hieronder.

Een datalek moet volgens de wet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (voorheen: College Bescherming Persoonsgegevens). Dat is erg snel. Daarom is het zinvol te beschikken over een protocol of draaiboek voor het geval er een datalek ontstaat. Daarin wordt onder meer beschreven in welke gevallen er sprake is van een datalek, hoe groot het datalek is, bij wie het intern moet worden gemeld, wat de oorzaak is en welke maatregelen zijn genomen om de schade zo klein mogelijk te houden. Ook moet worden vastgesteld of het lek aan de getroffen personen moet worden gemeld en of er andere partijen geïnformeerd moeten worden (bijv. de afdeling communicatie, of externe partners). Er moet ook een logboek komen waarin alle datalekken worden geregistreerd.

Tenslotte moeten bewerkersovereenkomsten worden aangepast. Van verwerking door een bewerker is bijvoorbeeld sprake bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website waar persoonsgegevens worden verwerkt. Er zullen afspraken moeten worden gemaakt over het hoe en wanneer melden van datalekken bij de JGZ-organisatie. Het interne protocol kan als uitgangspunt dienen.

Bij niet naleving van de meldplicht datalekken heeft de Autoriteit Persoonsgegevens de mogelijkheid om forse boetes uit te delen tot een maximum van € 810.00 of 10% van de jaaromzet. Dat maakt dat bescherming van persoonsgegevens en IT-security niet langer zijn voorbehouden aan de uitvoerende diensten, maar ook een belangrijk bestuurlijk aandachtspunt vormen.

Meer lezen? http://www.justitia.nl/privacy/datalekken.html#