Het College bescherming persoonsgegevens (CBP) heeft de regels voor de meldplicht datalekken bekendgemaakt. Organisaties moeten vanaf begin volgend jaar een ernstig datalek meteen meedelen aan het CPB. Het college krijgt ook een nieuwe naam: Autoriteit Persoonsgegevens.
De beleidsregels ondersteunen organisaties bij het vaststellen of het gaat om een datalek waarvan ze melding moeten maken bij de Autoriteit Persoonsgegevens. Soms moet een datalek ook worden gecommuniceerd aan de personen waarvan gegevens zijn gelekt.
Ernstige nadelige gevolgen
De wet zegt dat er melding moet worden gedaan als het datalek “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. Degenen over wie gegevens zijn gelekt, dienen hiervan op de hoogte te worden gebracht als het datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor de persoonlijke levenssfeer van de betrokkenen.
Boete tot 820.000 euro
“De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen”, aldus CBP-voorzitter Jacob Kohnstamm. De boete die opgelegd kan worden aan organisaties als ze een datalek niet melden terwijl ze dit wel hadden moeten doen, bedraagt maximaal 820.000 euro.