Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Organisaties moeten bij een datalek direct melding doen bij de Autoriteit Persoonsgegevens via het meldloket datalekken. En soms moeten zij het datalek ook melden aan de betrokkenen, zoals de mensen van wie de persoonsgegevens zijn gelekt.
We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.
Voorbeelden datalekken
- een kwijtgeraakte USB-stick met persoonsgegevens
- een gestolen laptop
- een inbraak in een databestand door een hacker
Wat betekent de meldplicht datalekken voor mij als organisatie?
Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek. Met behulp van ons stroomschema kunt u snel zien of u een datalek moet melden.
In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Ook hierbij hangt het van de ernst van het datalek af of u dit wel of niet moet doen.
Overtreding meldplicht datalekken
Is de meldplicht datalekken ingegaan en meldt u een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kan de Autoriteit Persoonsgegevens u een boete geven. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro.
Meldplicht datalekken Telecommunicatiewet
Biedt u openbare elektronische communicatiediensten aan? Dan was u al verplicht om datalekken te melden op grond van de Telecommunicatiewet. Dit deed u bij de Autoriteit Consument en Markt (ACM). Sinds 1 januari 2016 doet u deze meldingen niet meer bij ACM, maar bij de Autoriteit Persoonsgegevens. U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.
Beleidsregels meldplicht datalekken
De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld over de meldplicht datalekken. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.
Meer informatie vindt u op de website van Autoriteit Persoonsgegevens.