Meldplicht datalekken in Wet bescherming persoonsgegevens
Datum: 12 december 2015
Datalekken. Het is de schrik van iedere organisatie die te maken heeft met het opslaan van persoonsgegevens. Dat geldt dus zeker voor de gezondheidszorg. Patiëntgegevens worden opgeslagen en dat moet zorgvuldig gebeuren, met het oog op de bescherming van de privacy. Toch kan het ongewild misgaan . Per 1 januari a.s. is men verplicht ernstige datalekken te melden.
Het College Bescherming Persoonsgegevens (CBP) heeft op haar site de beleidsregels ver de meldplicht datalekken geplaatst. Overigens heet CBP volgend jaar Autoriteit Persoonsgegevens.
Wat is een datalek?
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.
Voorbeelden van datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak van een hacker in een databestand. Recent was er sprake van een Amerikaanse datingsite waarvan de klantgegevens op straat lagen en een ziekenhuis waar medische dossiers waren gelekt.
Melden of niet?
Het is afhankelijk van de ernst van de situatie of een organisatie melding moet doen van een datalek. Het gaat om het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit ‘leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek ‘waarschijnlijk ongunstige gevolgen zal hebben’ voor hun persoonlijke levenssfeer.
Boete
“De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om te zorgen dat datalekken worden voorkomen”, aldus CBP-voorzitter Jacob Kohnstamm. Het kan dan wel een middel zijn, het is wel een verplicht middel. De Autoriteit Persoonsgegevens kan organisaties een boete geven van maximaal € 820.000 als zij een datalek ten onrechte niet melden. Dit is het webadres.
(Foto: Bruce Parrott/Shutterstock)
Volg onsGerelateerde berichten
Overtreding privacyregels sociaal domein ‘beperkt’ Minister Hugo de Jonge ziet er geen heil in om aanvullende regels op te stellen voor […]
Klachten bij Autoriteit Persoonsgegevens over privacy Na de invoering van de AVG, de algemene verordening gegevensbescherming, in mei jl. […]
Wees voorbereid op de AVG Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat […]
Privacyschending op sites over gezondheid en ggz Bij het online zoeken naar informatie over depressie, kanker of andere gevoelige […]
Samen het roer om Ook de LHV vindt dat het roer om moet. De huisartsenorganisatie staat achter eisen als […]
