Uit de werkgroep Privacy en gegevensdeling: Meldplicht datalekken

Wijziging Wet bescherming persoonsgegevens (Wbp)

Met ingang van 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens in werking die voornamelijk twee zaken verandert:

Het College Bescherming Persoonsgegevens (CBP) gaat de Autoriteit Persoonsgegevens heten en krijgt meer mogelijkheden om boetes op te leggen en
Er komt een meldplicht voor datalekken.  Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan het College bescherming persoonsgegevens (CBP) en in bepaalde gevallen ook aan de betrokkene.

Punt 1. is een gegeven waarbij vooral het bewustzijn en de uitwerking in beleid en organisatie op het terrein van privacy en gegevensverwerking van belang is. Als we als gemeenten voldoen aan de Wet bescherming persoonsgegevens, dan zal het CBP geen boete op kunnen leggen.

 

Punt 2. Betreft de meldplicht datalekken:

Datalekken

Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Oorzaken van datalekken zijn grofweg onder te verdelen in:

Menselijk falen (b.v. te eenvoudige wachtwoorden /bijvoegen verkeerde bestanden/ / slordigheid (vergeten en kwijtgeraakt dossier, laptop/ onnadenkendheid, onbekendheid met eisen regels verwerking persoonsgegevens)
Technisch falen (ICT storingen)
Moedwillig handelen (cybercrime, hacking, identiteitsfraude)

 

Melden of niet? Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Meer informatie

Meer informatie over de meldplicht datalekken en over de verantwoordelijkheid van uw gemeente is te vinden op de website www.cbp.nl, de brief van de VNG, of bij Carla Aden, adviseur privacy Leeuwarden, carla.aden@leeuwarden.nl, 058 233 8176.