Het CBP “College Bescherming Persoonsgegevens” krijgt boetebevoegdheid en wordt Autoriteit Persoonsgegevens. Wat betekent dit voor bedrijven? Alle informatie is te vinden bij de Autoriteit Persoonsgegevens. Maar hier geef ik vast een aantal zaken weer die met de Privacy wetgeving te maken hebben. Dit is zeer summier!
In de Wet bescherming persoonsgegevens (Wbp) staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp).
Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.
Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En in een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hierin staat dat u de persoonsgegevens die u verwerkt moet beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens als het leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens (artikel 34a, eerste lid, Wbp). Het datalek moet daarnaast ook worden gemeld aan de betrokkene indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer (artikel 34a, tweede lid, Wbp).
Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet u bijvoorbeeld denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Maar niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
De teksten hier boven onder de kopjes “Boete“, “Meldplicht datalekken” en “Datalek” komen uit het beleidsregels_meldplicht_datalekken.pdf welke u kunt downloaden van de Autoriteit Persoonsgegevens.
Doet u zelf alvast een privacycheck voor uw onderneming met deze informatie.
Onder de kop “Melden aan de Autoriteit Persoonsgegevens” kunt u precies lezen in welke gevallen u een incident moet melden.
In het simpelste geval kan het gaan om een USB stick, een telefoon of een computer met daarop gegevens van uw klanten zoals bijvoorbeeld:
Als u bovengenoemde zaken niet meer in uw bezit heeft door verlies of diefstal spreken we van een beveiligingsincident.
Bij beveiligingsincidenten waar sprake kan zijn van een inbreuk op de beveiliging van persoonsgegevens moet u bijvoorbeeld denken aan:
U doet er verstandig aan om gegevens zo veel mogelijk te anonimiseren omdat de AP versleutelde gegevens nog steeds als persoonsgegevens blijft zien. Dit omdat deze weer ontsleuteld kunnen worden.
Gegevens die verloren gaan (ook als deze versleuteld is) door brand of anderszins vormen een datalek wat gemeld moet worden indien de gegevens vallen onder de regels van de AP en er is geen actuele reservekopie beschikbaar. De AP geeft ook veel praktische voorbeelden om u te helpen.
U zult bij elk incident moeten bepalen of er sprake is van een datalek en of u dat moet melden. De privacy wetgeving is streng en uitgebreid. Laat u door een expert voorlichten als u er moeite mee heeft.
De volgende maatregelen kunnen u helpen om datalekken zo veel mogelijk te beperken:
Zoals in het begin reeds gezegd is dit een zeer summier verhaal. Het komt er op neer dat elke situatie anders is en dus apart beoordeeld moet worden. Uw situatie kunt u niet vergelijken met andere voorvallen waar u kennis van heeft genomen.
Ook kunt u zich hier niet makkelijk van af maken. Dat gaat net zo lang tot het fout loopt. Daarna is vrij eenvoudig aan te tonen hoe u in gebreke bent gebleven.
Tot slot: Computable meld op 8 maart 2016 dat er in de eerste twee maanden al 700 meldingen van datalekken zijn gedaan!
Neem contact met mij op voor computerhulp aan huis als u de bovenstaande maatregelen wilt uitvoeren.
Wilt u mijn nieuwsbrief ontvangen? Schrijf u hier in! Dan weet u wat mijn volgende artikelen worden nog voor de publicatie!
Ik stel het op prijs als u onbruikbare links wilt melden via het contactformulier.
Deel alstublieft dit bericht op Social Media met de knoppen hier onder.
Wij maken gebruik van Analytische cookies om de prestaties van de website te meten en te verbeteren. MEER INFO
De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.