Concept richtsnoeren meldplicht datalekken gepubliceerd

Per 1 januari 2016 zal de wet Meldplicht datalekken inwerkingtreden. Dat betekent dat wanneer sprake is van een datalek (art.34a Wbp), een meldplicht geldt aan het CBP. Zowel bedrijven als overheden zijn hieraan gebonden. In sommige situatie moet de desbetreffende organisatie ook een melding aan de betrokkene(n) doen.

Er is sprake van een ‘datalek’ in de zin van artikel 34a van de Wet bescherming persoonsgegevens (‘Wbp’) bij een inbreuk op de beveiliging die leidt tot de aanzienlijke kans (of de zekerheid) op ernstige nadelige gevolgen (verlies of onrechtmatige verwerking) voor de bescherming van persoonsgegevens. Niet alleen het lekken van data van persoonsgegevens, maar ook de vernietiging daarvan en andere vormen van onrechtmatige verwerking is een datalek. Daarnaast hoeft een datalek niet digitaal te zijn. Ook wanneer een medewerker een printje van een klantenbestand (met daarin persoonsgegevens) verliest is sprake van een datalek.

Het CBP heeft richtsnoeren opgesteld over de meldplicht datalekken. Deze richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek die zij moeten melden.
Het CBP geeft belanghebbenden 4 weken de mogelijkheid om op de conceptversie van de richtsnoeren te reageren. De definitieve versie van de richtsnoeren treedt per 1 januari in werking. Vanaf die datum zal het CBP een nieuwe naam verkrijgen en verder gaan als Autoriteit Persoonsgegevens. Datalekken zullen vanaf die datum dan ook bij de Autoriteit Persoonsgegevens gemeld moeten worden. Organisaties die persoonsgegevens (gaan) verzamelen, moeten (vooraf) nadenken over de beveiliging hiervan. Het beveiligen van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn. Hetzelfde geldt voor het implementeren van een procedure voor het melden van datalekken. De Clercq Advocaten Notarissen heeft ervaring met het implementeren van een privacy- en beveiligingsbeleid en kan u behulpzaam zijn bij de voorbereidingen op de komst van de wet Meldplicht datalekkken.

Heeft u vragen over deze casus, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht