Wet meldplicht datalekken

Iedere onderneming verwerkt persoonsgegevens. Denk daarbij aan gegevens over personeel, sollicitanten, klanten en leveranciers. De bescherming van dergelijke persoonsgegevens is vastgelegd in de Wet Bescherming Persoonsgegevens (WBP). Met ingang van 1 januari 2016 is de WBP uitgebreid met de Wet Meldplicht Datalekken (artikel 34a WBP). In de gewijzigde WBP is vastgelegd dat bij een datalek een melding moet worden gedaan bij de toezichthouder (Autoriteit Persoonsgegevens).

Als er door een datalek kans is op verlies of onrechtmatige verwerking van persoonsgegevens (zoals het verliezen van een USB-stick, het per ongeluk wissen van een bestand, een aanval van een hacker) moet het datalek gemeld worden. Indien het datalek gevolgen kan hebben voor degene die de gegevens betreffen, moet ook worden overgegaan tot melding aan die betrokkene. Deze meldplicht geldt voor iedere onderneming namens wie persoonsgegevens worden verwerkt, zowel in de private als publieke sector.

Bij de verwerking van persoonsgegevens wordt vaak ook gebruik gemaakt van derden (bijvoorbeeld een salarisadministratiebureau opslag ‘in de cloud’). In het kader van Wet Meldplicht Datalekken is het van belang dat afspraken met dergelijke ‘bewerkers van persoonsgegevens’ up-to-date zijn. Dit kan betekenen dat met hen afgesloten overeenkomsten aangepast dienen te worden aan de nieuwe wetgeving.

Indien geen (tijdige) melding wordt gemaakt van een datalek, kan dit worden bestraft met een bestuurlijke boete. Deze boetes kunnen onder de nieuwe wetgeving oplopen tot €820.000.

Op de website van de Autoriteit Persoonsgegevens zijn Beleidsregels opgenomen met hierin de toepassing van artikel 34a WBP.

Heeft u nog vragen? Neem dan contact op met uw contactpersoon of met een vestiging bij u in de buurt.