Meldplicht datalekken

Op 1 januari 2016 is de meldplicht datalekken in gegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.

Onder een datalek valt dus niet alleen het vrijkomen van gegevens, maar ook onrechtmatige verwerking van gegevens.Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking. Dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

De privacytoezichthouder mag vanaf 1 januari 2016 aanzienlijk hogere boetes opleggen: theoretisch tot 820.000 EURO (hoogste categorie) of, als dat niet passend is 10% van de netto jaaromzet van de rechtspersoon.