Meldplicht datalekken, in het kort

Op 26 mei 2015 heeft de Eerste Kamer ingestemd met de “Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens [nu Autoriteit Persoonsgegevens] om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen”.

Met deze wijziging van de Wet bescherming persoonsgegevens (Wbp) geldt er sinds 1 januari 2016 een meldplicht voor datalekken.

Wat is een datalek?

Volgens artikel 13 van de Wbp “legt de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking“.

Een datalek kan gedefinieerd worden als een “inbreuk op de genomen technische en organisatorische maatregelen voor de beveiliging van persoonsgegevens“ (beveiligingsincident) waarbij “persoonsgegevens verloren zijn gegaan, of onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten“ (AP, zj.; AP, 2015, p.5).

De meldplicht geldt niet voor alle datalekken

Niet alle datalekken hoeven gemeld te worden. De verantwoordelijke is alleen verplicht om een datalek “die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens” (artikel 34a, eerste lid, Wbp) binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP) (AP, 2015, p.6).

De betrokkene hoeft pas geïnformeerd te worden indien het datalek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer” (artikel 34a, tweede lid, Wbp).

Bronnen

• Autoriteit Persoonsgegevens (AP) (z.j.). Meldplicht datalekken. Geraadpleegd op 25 september 2016, van https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
• Autoriteit Persoonsgegevens (AP) (2015). De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp). Beleidsregels voor toepassing van artikel 34a van de Wbp. Geraadpleegd van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf
• Eerste Kamer der Staten-Generaal. Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp. Geraadpleegd op 25 september, 2016, van https://www.eerstekamer.nl/wetsvoorstel/33662_meldplicht_datalekken_en
• Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens). Geraadpleegd van http://wetten.overheid.nl/BWBR0011468/2016-01-01