Wat houdt de meldplicht datalekken in?

Plicht geldt voor ieder bedrijf dat persoonsgegevens verwerkt

24 februari 2020

Verwerkt jouw bedrijf persoonsgegevens? Dan geldt de meldplicht datalekken voor jouw bedrijf. Dat betekent dat je verplicht bent ernstige datalekken direct te melden bij de Autoriteit Persoonsgegevens (AP). En in sommige gevallen moet je het datalek ook melden bij de mensen waarvan data gelekt is.

Kom in actie

Maar wanneer heb je te maken met een datalek? Als persoonsgegevens onbedoeld in handen vallen van derden, gewijzigd of vernietigd worden, spreek je van een datalek. Dit kan gebeuren bijvoorbeeld als je bijvoorbeeld een usb-stick met persoonsgegevens verliest, hackers inbreken in jouw systemen of er brand ontstaat in een datacentrum. Bij een datalek gaat het om toegang tot gegevens, maar bijvoorbeeld ook het vernietigen en het wijzigen van gegevens.

Niet ieder datalek melden

Je hoeft niet ieder datalek te melden. Dit moet alleen als ‘het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’, zo schrijft de Autoriteit Persoonsgegevens. De aard van de gegevens is daarbij van belang. Als het gaat om gevoelige gegevens, zoals godsdienst, financiële situatie, seksuele voorkeuren, wachtwoorden, etc. dan kun je ervan uitgaan dat je dit moet melden.

Betrokkene informeren

Dat je een datalek moet melden aan de Autoriteit Persoonsgegevens betekent niet altijd dat je ook de betrokkenen moet informeren. Dat moet alleen als het waarschijnlijk is dat het ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Denk hierbij aan identiteitsfraude, discriminatie of aantasting van de goede naam.

Boete

Wanneer je een ernstig datalek niet meldt, overtreed je de Wet Bescherming Persoonsgegevens. Op zo’n overtreding staat een boete die kan oplopen tot maximaal €10 miljoen of 2% van de jaarlijkse wereldwijde omzet van de organisatie. Het is dus raadzaam een lek zo snel mogelijk te melden. Het melden moet gebeuren binnen 72 uur na het ontdekken.

Hoe meld je een datalek?

Een melding maken bij de Autoriteit Persoonsgegevens kan via een online formulier. Via deze link word je naar het formulier geleid. Voor mensen die vermoeden dat organisaties niet zorgvuldig omgaan met (hun) persoonsgegevens, is er een tipformulier.