CBP publiceert conceptversie meldplicht datalekken

Het College bescherming persoonsgegevens (CBP) publiceert de conceptrichtlijnen voor de nieuwe meldplicht datalekken. Volgens deze meldplicht moeten organisaties die persoonsgegevens verwerken melding doen bij de privacytoezichthouder indien zij te maken krijgen met een datalek. Het CBP vraagt belanghebbenden binnen vier weken te reageren op het concept.

De meldplicht bepaalt dat organisaties een ernstig datalek moeten melden bij de privacytoezichthouder, een maatregel om de privacy van burgers beter te beschermen. Het gaat hierbij overigens niet alleen om persoonsgegevens die op straat komen te liggen. Ook onrechtmatige verwerking van persoonsgegevens valt onder de wet. De wet geldt vanaf 1 januari 2016.

Wat is ernstig?
Alleen ‘ernstige datalekken’ hoeven gemeld te worden. Wat is echter ernstig? Dit zal een organisatie zelf moeten bepalen, onder andere door de te kijken naar het soort persoonsgegevens dat is gelekt of onrechtmatig is verwerkt. In de richtlijnen wordt een ernstig datalek omschreven als een incident dat “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.

In sommige gevallen moeten organisaties ook betrokkenen informeren. Het gaat hierbij om mensen waarvan persoonsgegevens zijn gelekt of onrechtmatig verwerkt. Het gaat hierbij om incidenten die “waarschijnlijk ongunstige gevolgen zal hebben” voor de persoonlijke levenssfeer van betrokkenen.

Reageren
De conceptversie van de meldplicht datalekken is te vinden op de website van het CBP. Reacties op het concept kunnen worden ingezonden via consultatiedatalekken@cbpweb.nl.