Meldplicht datalekken: betere bescherming persoonsgegevens

U legt de persoonsgegevens vast van uw personeel en waarschijnlijk ook van uw cliënten. De regels voor de bescherming van deze gegevens zijn aangescherpt. U hebt de plicht om zorgvuldig met deze gegevens om te gaan.

Zo mag u de persoonsgegevens uitsluitend gebruiken voor de uitvoering van de betreffende opdracht die u van de cliënt(en) heeft gekregen. Ook mag u de gegevens niet langer bewaren dan strikt noodzakelijk en draagt u zorg voor de geheimhouding ervan. Denk aan organisatorische maatregelen rond beveiliging van het pand en de beveiliging rond uw ICT-structuur. Maar bijvoorbeeld ook aan het aanpassen van de geheimhoudingsbepalingen in de arbeidscontracten en/of het personeelsreglement.

Wat is een datalek?

Een incident waarbij er onverhoopt sprake is van toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is, wordt een datalek genoemd. Denk bijvoorbeeld aan een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Maar ook een e-mail aan een verkeerde persoon of een e-mail aan een groep personen, waarbij ten onrechte de geadresseerden zichtbaar (niet in de Bcc balk) staan. De ernst van een datalek hangt af van de omvang van het lek, de aard van de betrokken gegevens en de kans dat een lek ook daadwerkelijk tot schade zal leiden.

Wanneer melden?

U moet een datalek onverwijld en zo mogelijk binnen 72 uur melden aan de nieuwe Autoriteit Persoonsgegevens als het lek leidt of kan leiden tot een aanzienlijke (kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Het datalek moet daarnaast ook worden gemeld aan de betrokken persoon, als het waarschijnlijk is dat dit ongunstige gevolgen zal hebben voor zijn/haar persoonlijke levenssfeer. Meldt u ten onrechte een datalek niet, dan kan de Autoriteit Persoonsgegevens u een forse boete opleggen, variërend van € 410 tot € 820.000.

Let op

Hebben ook derden toegang tot de persoonsgegevens die u vastlegt? In dat geval moet u waarborgen dat ook zij met de vereiste zorgvuldigheid omgaan met de gegevens. U doet er verstandig aan om hierover schriftelijk afspraken te maken met deze derden.