1. Blog
  2. Vijf misverstanden over de meldplicht datalekken

Vijf misverstanden over de meldplicht datalekken

 

Blog door: Lisette Meij, Juridisch Adviseur, ICTRecht

Vijf misverstanden over de meldplicht datalekkenOrganisaties zijn per 1 januari 2016 verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de slachtoffers (de betrokkenen). Gelet op de verschillende opinies en vragen die langskomen blijken er nogal wat misverstanden te bestaan over deze meldplicht. Naast een straatvraag SecureTV zijn hieronder vijf misverstanden op een rij gezet.

1. Vernietiging van gegevens kan nooit een datalek zijn.

Een veelgehoord argument. Immers, als de gegevens vernietigd zijn kunnen ze ook niet in handen van kwaadwillenden vallen. Dat klopt. Echter, vernietiging van persoonsgegevens kan wel nadelige gevolgen hebben voor betrokkenen en wordt daarom door de toezichthouder aangemerkt als datalek.

2. De melding moet binnen 24 uur / 2 werkdagen worden gedaan.

Dit is onjuist. De wet stelt dat het datalek onverwijld gemeld dient te worden. In de definitieve versie van de richtsnoeren, die nu beleidsregels worden genoemd, is een termijn van 72 uur opgenomen. De toezichthouder legt uit dat onverwijld betekent dat je eerst enige tijd mag nemen voor nader onderzoek. Overigens kun je een lek ook na 72 uur nog melden, mits je gemotiveerd kunt betogen waarom je langer nodig hebt gehad.

3. Niet voldoen aan de meldplicht kan een boete van € 810.000,- opleveren.

Dat is niet helemaal juist. Los van het feit dat de maximale boetebevoegdheid per 1 januari €820.000,- is (artikel 23 lid 4 Wetboek van Strafrecht is per 1 januari 2016 eveneens aangepast, de boetes zijn omhoog gegaan), heeft de toezichthouder boetebeleidsregels uitgevaardigd. In deze beleidsregels zijn overtredingen van de Wet bescherming persoonsgegevens per categorie ingedeeld. De toezichthouder kan een maximale boete van €820.000,- opleggen, maar zal voor het niet voldoen aan de meldplicht een boete van de tweede categorie opleggen. Dat komt neer op een bedrag tussen de €120.000,- en €500.000,- per overtreding. Je kunt twee boetes verwachten als je ‘vergeet’ om een melding aan zowel de toezichthouder als de betrokkenen te doen.

4. De melding kan uitsluitend op schrift gedaan worden.

Een vaker gehoorde stelling is dat de melding uitsluitend op schrift gedaan kan worden. Ook dit is (gelukkig) een misverstand. De toezichthouder heeft een webformulier ter beschikking gesteld waarmee een melding gedaan kan worden. Kun je dat formulier, om wat voor reden dan ook, niet gebruiken, dan kun je volstaan met een fax (ja, echt).

5. Als bewerker heb je ook een meldplicht.

Alleen de verantwoordelijke voor de gegevensverwerking is verplicht om de melding aan de toezichthouder en eventueel aan de betrokkenen te doen. Toch vervult een bewerker een belangrijke rol in het doen van een melding. Een bewerker kan namelijk degene zijn die het lek als eerste constateert. In dat geval is het aan de verantwoordelijke om zorg te dragen dat de bewerker verplicht wordt om een dergelijk lek zo snel mogelijk aan hem door te geven. Dat dient vastgelegd te worden in een bewerkersovereenkomst. Bovendien kan in deze overeenkomst vastgelegd worden dat de bewerker de melding bij de toezichthouder doet voor de verantwoordelijke.

Meer weten over deze meldplicht? Lees onze factsheet, of de uitgebreide beleidsregels van de Autoriteit Persoonsgegevens.

Delen