Wet meldplicht datalekken
Wet meldplicht datalekken
Bij een datalek denkt u wellicht in de eerste plaats aan een hack van uw systeem met malware of ransomware. Maar, ook het verlies van een laptop, telefoon of usb-stick door een medewerker kan een datalek opleveren. Datzelfde geldt voor onbevoegde toegang tot een medisch dossier. Een datalek is niet alleen erg vervelend, maar kan ook juridische consequenties hebben. Bovendien geldt sinds 1 januari 2016 dat u op straffe van een boete verplicht bent een datalek te melden bij de Autoriteit Persoonsgegevens.
Uit de praktijk blijkt dat de menselijke fout binnen de organisatie het grootste risico op datalekken vormt. Of u een datalek moet melden hangt af van de mogelijke gevolgen van dit lek. Daarbij speelt de aard van de gelekte data een belangrijke rol alsmede de kans dat onbevoegden kennis zullen nemen van de gelekte gegevens.
Indien een organisatie gegevens betreffende de gezondheid verwerkt zal een lek van deze gegevens bijna altijd meldplichtig zijn. De melding dient te worden gedaan bij de Autoriteit Persoonsgegevens. Onder omstandigheden dient het lek ook te worden gemeld aan de betrokkene wiens gegevens zijn gelekt. De sanctie op overtreding van de meldplicht is stevig. Als een organisatie ten onrechte nalaat een datalek te melden, kan de Autoriteit Persoonsgegevens een boete opleggen tot maximaal
€ 810.000,- of 10 % van de jaaromzet.
Een datalek wilt u natuurlijk het liefst voorkomen. Wij bespreken graag de aandachtspunten met u.