Meldplicht Datalekken ook voor verloren USB-stick

Op 1 januari 2016 is de Meldplicht Datalekken ingegaan. Deze meldplicht houdt concreet in dat organisaties (zowel bedrijven als overheden) onverwijld een melding moeten doen bij de Autoriteit Persoons­gegevens zodra zij een ernstig datalek hebben ontdekt. Hieronder vallen ook een verloren USB-stick, iPad, laptop of dossiermap met persoonsgegevens.

Forse bestuurlijke boetes

meldplicht datalekkenEen datalek moet bijna altijd worden gemeld (art. 34a lid 1 Wbp). Indien er na ontdekking niet, onjuist of te laat wordt gemeld, kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen tot maar liefst € 820.000 euro (art. 23 lid 4 Sr).

Het lek moet ook worden gemeld aan de betrok­kenen, indien het gevolgen heeft voor hun persoonlijke levenssfeer (art. 34a lid 2 Wbp). Bij persoonsgegevens is dat al snel het geval, door aantasting van privacy en risico op spam en (identiteits-)fraude.

Beleidsregels Meldplicht Datalekken

De Autoriteit Persoonsgegevens heeft beleidsregels opgesteld voor het omgaan met de Meldplicht Datalekken. Daarnaast is het voor elke organisatie nodig om eigen beleid en procedures te hebben voor tijdige en correcte melding. Het gaat hier immers niet om beleid voor uitsluitend een zeldzame hacker, maar vooral voor veel vaker voor­komende zaken als verlies en diefstal van gegevensdragers.

Informatiebeveiliging: voorkomen is beter dan melden

Los van de meldingsplicht was en is er de vereiste dat de persoonsgegevens die worden verwerkt beveiligd moeten zijn tegen verlies en tegen onrechtmatige verwerking door ‘passende technische en organisatorische maatregelen’ (art. 13 Wbp). Voorkomen van verlies en diefstal is altijd beter. Daarnaast is het verstandig de schade bij voorbaat te beperken, door zo weinig mogelijk persoonsgegevens lokaal op apparaten op te slaan en lokaal opgeslagen gegevens te versleutelen. De dief of vinder kan daardoor de gegevens in elk geval niet (eenvoudig) lezen.

Gerelateerde artikelen:

Over Ron van der Kolk MSc MBA

Als orga­ni­satieadviseur, interim manager, trainer en coach bij Inflection verbeter ik dienstverlening & bedrijfsvoering in de (semi-)publieke sector

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *