Meldplicht Datalekken: 5 vragen en antwoorden voor organisaties

Meldplicht Datalekken: 5 vragen en antwoorden voor organisaties

Peter Güldenpfennig
In mei 2015 nam de Eerste Kamer de wet Meldplicht Datalekken aan. Deze ging 1 januari 2016 van kracht. De meldplicht kan verstrekkende gevolgen hebben voor organisaties, maar helaas is er nog vrij veel onduidelijk over de meldplicht. Wij beantwoorden vijf vragen over de meldplicht.

Waarom is er een Meldplicht Datalekken?

De meldplicht is ingesteld om verantwoordelijkheid voor data die persoonsgebonden informatie bevat bij het bedrijfsleven te leggen. Bescherming van die data ligt bij de organisatie die dergelijke data beheert door middel van een verplicht databeschermingsbeleid. Mocht er toch data lekken, dan moet de organisatie er voor zorgen dat schade voor de betrokkenen zo minimaal mogelijk is. Voordat de meldplicht inging was er te veel onduidelijkheid over verantwoordelijkheid wanneer er zich een lek voordeed, terwijl de gevolgen voor betrokkenen desastreus kunnen zijn.

Wanneer moet ik een lek melden?

Als er, op wat voor manier dan ook, privacygevoelige data is verloren of buitgemaakt door cybercriminelen, moet de organisatie dit melden aan de Autoriteit Persoonsgegevens, voorheen het College Bescherming Persoonsgegevens. Dit houdt dus in dat dit proactief gemeld moet worden, je kunt niet achterover gaan leunen en denken dat het probleem zichzelf wel oplost, het betreft immers een meldplicht. De meldplicht geldt ook voor medewerkers van je organisatie die bijvoorbeeld een USB-stick met privacygevoelige data verliezen.

Wat kan ik doen om een datalek te voorkomen?

We zullen eerlijk zijn: honderd procent voorkomen kan niet, maar je kunt het risico wel zo klein mogelijk maken. Dat is ook waarom je verplicht bent een databeschermingsbeleid in te stellen. Hierin staat beschreven hoe je actief de data in jouw organisatie beveiligt. Het is de bedoeling dat dit beleid ook gevolgd wordt. Met andere woorden, verlies je een notebook vol persoonlijke informatie van klanten, dan ben je verplicht om aan te tonen dat de data op het moment van kwijtraken daadwerkelijk versleuteld was. Hiervoor kun je het beste een bedrijf in de arm nemen dat zich specialiseert in IT-oplossingen en security om te kijken welke oplossing past binnen jouw organisatie.

Wat is het gevolg wanneer ik een datalek heb en deze meld?

Dat ligt aan de omstandigheden en gevolgen van het lek. Context telt dus. Je bent sowieso verplicht betrokkenen te informeren over het lek. Als er sprake is van nalatigheid, bijvoorbeeld omdat je niet kunt aantonen dat je er alles aan hebt gedaan om de data te beschermen of het lek niet is gemeld, dan kan er een boete worden opgelegd. Deze kan flink oplopen, tot aan 820.000 euro of 10 procent van de jaaromzet. Vaak volgt bij een overtreding wel eerst een waarschuwing.

Wat is er zo positief aan de Meldplicht Datalekken?

Het dwingt organisaties verantwoordelijkheid te nemen over de data die zij beheren. Bovendien spoort het aan tot nadenken over hoe we omgaan met privacygevoelige informatie. Als organisatie moet je daarom een positieve draai geven aan de meldplicht. Een beter moment dan nu voor het instellen van een strak en goed georganiseerd databeveiligingsbeleid is er niet. En je bent het de mensen, wiens data je in het bezit hebt, sowieso verplicht.

Lees meer over de Meldplicht Datalekken op de website van de Autoriteit Persoonsgegevens.

afbeelding van Peter Güldenpfennig

Peter Güldenpfennig | Redacteur

Bekijk alle artikelen van Peter