Meldplicht datalekken

Vanaf 1 januari 2016 moet volgens de Nederlandse Wet meldplicht datalekken een datalek in bepaalde gevallen gemeld worden bij het College bescherming persoonsgegevens (CBP). Dit geldt wanneer er sprake is van een inbreuk op de informatiebeveiliging en deze inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Maar dat is nog niet alles; je moet een datalek ook melden bij de betrokkenen (diegenen waar de persoonsgegevens betrekking op hebben) als het lek nadelige gevolgen kan hebben voor hun persoonlijke levenssfeer. Als je een datalek niet op de juiste manier meldt, dan kan het CBP een boete van wel € 500.000,- opleggen.

Een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens klinkt behoorlijk vaag. Hierbij kun je bijvoorbeeld denken aan hackers die toegang krijgen tot je database met klantgegevens. Mocht dit het geval zijn, dan dien je dit dus te melden bij het CBP én bij je klanten. Een melding bij je klanten kun je echter achterwege laten als de persoonsgegevens in de database niet leesbaar zijn voor de hacker. Dit is bijvoorbeeld het geval als er een goede vorm van encryptie is toegepast.  

Wat moeten webwinkeliers doen?

De hierboven genoemde Meldplicht datalekken is een Nederlandse wet die grotendeels in stand blijft in de Algemene verordening gegevensbescherming (AVG). In de AVG staat nog wel vermeld dat verantwoordelijken verplicht zijn om de toezichthouder binnen 72 uur na ontdekking van een datalek op de hoogte stellen.

Al met al blijft het voor bedrijven lastig om te bepalen wanneer iets nu wel of niet aan het CBP en/of de betrokkenen moet worden gemeld. Daarom hebben we samen met ICTRecht onderstaande beslisboom ontwikkeld, waarmee je het risico op boetes vanwege het niet voldoen aan de meldplicht voor datalekken kan worden gereduceerd.

Beslisboom meldplicht datalekken

Bekijk de tekstversie van de beslisboom meldplicht datalekken.