Meldplicht datalekken

Eerder al publiceerde het CBP (sinds 1 januari 2016 de Autoriteit Persoonsgegevens (AP)) de richtsnoeren meldplicht datalekken. Ook de officiële beleidsregels omtrent de meldplicht gepubliceerd, waarin uiteengezet wordt wat wel en wat niet gemeld moet worden wanneer jouw organisatie te maken heeft met een datalek.

Wanneer val je onder de meldplicht datalekken?

De beleidsregels stellen waar een organisatie aan moet voldoen om onder de meldplicht te vallen, maar ook wanneer een datalek gemeld moet worden. De AP omschrijft een datalek niet enkel als het vrijkomen van persoonsgegevens, maar ook vernietiging van persoonsgegevens en andere onrechtmatige verwerkingen van deze gegevens.

Of een organisatie een datalek moet melden hangt af van de ernst van het lek. De wet stelt dat een lek gemeld moet worden wanneer deze 'leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoonsgegevens'. Daarnaast moet in sommige gevallen een lek ook gemeld worden aan betrokkenen, met name wanneer een lek nadelige gevolgen voor deze persoon kan hebben.

Meer informatie vind je op de officiële website. Ga hierheen voor het officiële document met de beleidsregels: Beleidsregels meldplicht datalekken (PDF).