Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Datalek

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden datalekken

Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Consultatie richtsnoeren meldplicht datalekken

Het CBP heeft richtsnoeren opgesteld over de meldplicht datalekken. Deze richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij het CBP en eventueel aan de betrokkenen.

Belanghebbenden hadden tot 20 oktober 2015 de gelegenheid om te reageren op de conceptversie van de richtsnoeren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de richtsnoeren.

 

Wilt u meer informatie over wat u kunt doen? Neem dan contact met ons op!

www.qa-ict.nl

 

bron: https://www.cbpweb.nl/

 

Het College Bescherming Persoonsgegevens CPB gaat niet in op de oproep van brancheorganisatie Nederland ICT om bij de invoering van de meldplicht datalekken coulant te zijn. CBP maakte 9 december 2015 de definitieve versie van de beleidsregels bekend.

Volgens Nederland ICT hebben ict-bedrijven te kort de tijd om die regels door te voeren in hun bedrijfsvoering. Volgens de belangenorganisatie is voor ict-bedrijven drie weken te kort om het interne beleid en de contracten met andere bewerkers van persoonsgegevens op de definitieve beleidsregels af te stemmen. Het vindt die termijn veel te krap en rekent op coulance van het CBP in de handhaving van de wet.

Een woordvoerder van CBP reageert tegenover Computable: ‘We staan op 2 januari 2016 niet direct met boetes te zwaaien. Dat is ook niet de opzet van de meldplicht. De meldplicht moet zorgen dat bedrijven bewuster omgaan met de beveiliging van persoonsgegevens.’ De kritiek dat bedrijven maar drie weken de tijd hebben om de nieuwe regels te implementeren vindt ze niet terecht. ‘Het is natuurlijk niet zo dat we drie weken van te voren met iets nieuws komen.’ Ze verwijst naar de ‘Richtsnoeren beveiliging van persoonsgegevens’ die al begin 2013 zijn gepubliceerd.Daarin staat hoe de toezichthouder bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) toepast. Na consultatie van de markt is daar uiteindelijk op 9 december een 57-pagina tellend document voortgekomen met beleidsregels.

Wettekst

In reactie op de bekendmaking van de definitieve beleidsregels schreef de brancheorganisatie op 9 december: ‘De definitieve beleidsregels worden bij publiceren van dit bericht nog door ons bestudeerd. Op basis hiervan zullen we op korte termijn een voorbeeld bewerkersovereenkomst opstellen als handvat voor ict-bedrijven om hun afspraken met klanten op de nieuwe meldplicht te kunnen afstemmen.De branchevereniging laat verder weten dat het de acties van de overheid om de bescherming van persoonsgegevens te verbeteren, steunt en telt dat de meldplicht daar een goed instrument voor kan zijn. ‘Dat vereist wel duidelijke regels en daarmee rechtszekerheid voor bedrijven. De wettekst bood deze duidelijkheid niet, maar zou verder uitgelegd worden in beleidsregels.’

Meldplicht

Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, tot die tijd College bescherming persoonsgegevens (CBP) genaamd.De autoriteit kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is 820.000 euro. De beleidsregels zijn te downloaden op de website van het CBP.

Bron: computable.nl