Overzicht Actueel

Organisaties maken zich op voor meldplicht datalekken, DDMA organiseert voorlichtingsbijeenkomst

Op 1 januari 2016 krijgt Nederland een brede meldplicht datalekken. Als er bij een datalek kans is op privacyschending van consumenten, moet deze gemeld worden bij de Autoriteit persoonsgegevens (nu nog bekend als Cbp). Uit een peiling van DDMA blijkt dat bijna driekwart van de marketeers bekend is met de meldplicht en bijna de helft maatregelen heeft genomen. Zij kennen ook de maximale boete van €820.000 (€810.000 incl. inflatiecorrectie). Als handreiking publiceert de Autoriteit Persoonsgegevens nu Beleidsregels Meldplicht Datalekken die aangeven wanneer een datalek gemeld moet worden. Wat staat erin?

1. Dat ernstige datalekken gemeld moeten worden bij de Autoriteit persoonsgegevens (Ap).

Een datalek is:

  • een beveiligingsincident;
  • waarbij persoonsgegevens zijn gelekt;
  • dat mogelijk leidt tot ernstige gevolgen voor de privacy van mensen in je bestand.

2. Wanneer er bij een datalek sprake is van een ernstige gevolgen voor de privacy.

Dit is het geval wanneer er risico is op misbruik en fraude. Bij het lekken van financiële data, inloggegevens, BSN-achtige gegevens, of gegevens die kunnen leiden tot discriminatie of uitsluiting, zoals informatie over verslavingen, seksuele voorkeur, ras, levensovertuiging of gezondheid is er snel sprake van mogelijke ernstige gevolgen voor privacy en moet een lek gemeld worden. De kans op misbruik is ook groter als het om een grote dataset gaat, dus als je veel gegevens per persoon verzamelt, of gegevens van veel personen. In dat geval kan het ook zijn dat je moet melden als er lek is bij een grote base met NAW en e-mailadressen.

3. Hoe een datalek gemeld moet worden aan de Ap.

Vanaf 1 januari staat er een formulier online op de website cbpweb.nl. In de Richtsnoeren vind je in de bijlage een voorbeeld van dit formulier, zo kan je zien welke gegevens je moet noteren en bewaren.

4. Wie een datalek moet melden aan de Ap.

In principe de eigenaar van de database. Bijvoorbeeld de fondsenwerver, de adverteerder en de politieke partij die gegevens van consumenten verzamelen en hier marketing op doen. In de wetgeving heet deze partij de verantwoordelijke voor de gegevensbescherming. Dit geldt ook als de adverteerder onderaannemers inschakelt zoals een call center, reclamebureau, social media specialist om zijn data te bewerken. Ook dan moet de adverteerder het datalek melden, niet de zogenaamde bewerker. De adverteerder moet wel goede afspraken maken met een bewerker (call center, bureau, etc) over de termijn waarbinnen en de wijze waarop hij een lek bij de adverteerder moet melden. Dit kan met behulp van een bewerkersovereenkomst.

5. Binnen welk tijdsbestek een datalek gemeld moet worden aan de Ap.

Een datalek moet binnen 72 uur na ontdekking gemeld worden.

6. Dat de mensen in het bestand ook melding krijgen van een ernstig datalek.

Als je geconstateerd hebt dat een datalek mogelijk ernstige gevolgen voor de privacy van mensen in het bestand van je organisatie heeft, moet je het lek ook aan hen melden. Tenzij de gegevens dusdanig zijn beveiligd dat onbevoegde personen hier niets mee kunnen, denk hierbij aan een encryptie of versleuteling.

7. Hoe je de betrokken consumenten van een datalek op de hoogte stelt.

Een organisatie moet in ieder geval globaal aangeven wat het lek inhoudt, waar iemand meer informatie kan vinden over het lek en welke maatregelen hij kan nemen om de gevolgen te beperken. Je moet alles in het werk stellen om mensen te informeren en kunt daarbij gebruik maken van e-mail, telefoon en/of een melding op de website. Hoe een organisatie over een datalek communiceert, kan consumentenvertrouwen en je reputatie maken of breken. DDMA publiceert daarom volgende week haar Howto Factsheet over het informeren van je klanten over een datalek.

Meer weten?
DDMA en Goede Doelen Nederland slaan de handen ineen en organiseren op 16 februari 2016 een voorlichtingsbijeenkomst met praktische tips en uitleg. Aanmelden kan hier.