Meldplicht datalekken wordt aangescherpt

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming in werking. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens (WBP). De meldplicht datalekken wordt door deze nieuwe verordening in stand gehouden. De toepassingsvoorwaarde voor deze meldplicht wordt echter wel aangescherpt.

2 december 2016 | Door redactie

Als gevolg van de Algemene verordening gegevensbescherming krijgen organisaties per 25 mei 2018 te maken met een nieuwe documentatieplicht. De meldplicht datalekken (tools) blijft bestaan, maar de toepassingsvoorwaarde wordt flink aangescherpt. Per 25 mei 2018 moeten organisaties een datalek eerder melden bij de Autoriteit Persoonsgegevens. Deze melding mag volgens de wettekst alleen nog achterwege blijven als het onwaarschijnlijk is dat dit datalek risico’s met zich meebrengt voor de rechten en vrijheden van natuurlijke personen.

Stroomschema doornemen voor de meldplicht

Op dit moment hoeven organisaties niet in iedere situatie waarin persoonsgegevens kunnen lekken, zoals bij diefstal van een laptop of een hack van een ICT-systeem, een melding in te dienen bij de Autoriteit Persoonsgegevens. De Wet meldplicht datalekken bevat momenteel een beslismodel (tool), waarmee organisaties kunnen controleren of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. Deze selectiecriteria zijn verwerkt in een stroomschema (tool) die organisaties kunnen doorlopen. 

De Europese Commissie heeft onlangs een voorstel voor de e-privacyverordening gepubliceerd. Deze verordening staat los van de AVG en vult de AVG aan. In het nieuwsartikel E-privacyverordening vult regels AVG aan vindt u meer informatie hierover.