Sinds 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) gewijzigd. U bent sinds dit jaar verplicht het te melden wanneer gevoelige data bij u is gestolen.
Datalekken zijn niet per sé digitale lekken. Als voorbeeld geldt ook een verloren koffer met verzekeringspolissen. Ook wordt wel het voorbeeld genoemd van een nieuwsbrief waarbij de email-adressen van alle ontvangers voor iedereen zichtbaar zijn (hoewel ik zou zeggen dat dat geen ernstige nadelige gevolgen heeft voor de betrokken, tenzij het een nieuwsbrief betreft van Anonieme Alcoholisten Nederland, of van de Wolter Kroes fanclub, RH).
Goed om te weten is dat er al van een datalek sprake is bij elke inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.
Melden of niet?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer. [bron]
Boete
Vanaf 1 januari kan de Autoriteit persoonsgegevens voor overtreding van vrijwel alle verplichtingen uit de Wbp boetes uitdelen. Bijvoorbeeld in geval van gegevensverwerking zonder legitiem doel, op onzorgvuldige wijze of zonder adequate beveiliging.
Als een overtreding niet opzettelijk of door enstig verwijtbare nalatigheid is begaan, legt Autoriteit eerst een ‘bindende aanwijzing’ op voordat een boete kan worden opgelegd. De overtreder krijgt daarmee de gelegenheid om de overtreding weg te nemen, bijvoorbeeld door alsnog passende beveiligingsmaatregelen te nemen.
Het niet-naleven van een bindende aanwijzing kan direct worden bestraft met een boete die kan oplopen tot wel € 810.000,- of, indien dat geen passende bestraffing is, zelfs 10% van de jaaromzet. Wordt de Wbp echter opzettelijk overtreden, dan kan dit direct tot een boete leiden. [bron]
Melden van gegevensverwerking
Naast het melden van datalekken bent u in sommige gevallen ook verplicht om te melden dat u persoonlijke gegevens in een IT-systeem opslaat. Dit geldt ook (alleen) voor gegevens die "die naar het oordeel van de wetgever een bijzonder risico inhouden voor de persoonlijke levenssfeer van betrokkenen".
kun je inzien wat organisaties aan persoonsgegevens registreren. In Someren zie ik onder andere een bedrijf dat netjes heeft gemeld dat het gebruik maakt van een "Camera bewakingsysteem" met als doel "Diefstalpreventie, veilig werken in de werkplaats, registratie bezoekers".