Vragen over: meldplicht datalekken en de AVG

11 mei 2018 Door redactie

Ook onder de Algemene verordening gegevensbescherming (AVG) moeten organisaties ernstige datalekken melden bij de Autoriteit Persoonsgegevens (AP). Maar de regels blijven niet exact hetzelfde.

Momenteel is er in de Wet bescherming persoonsgegevens (WBP) een meldplicht voor datalekken opgenomen. Deze zorgt ervoor dat een organisatie een datalek direct moet melden aan de AP als dit lek leidt tot een ‘aanzienlijke kans op ernstige nadelige gevolgen’. Als het datalek waarschijnlijk ongunstige gevolgen heeft voor de personen op wie de gelekte gegevens betrekking hebben, moet de organisatie die personen ook direct inlichten.

Wat zijn de regels voor de meldplicht onder de AVG?

Op 25 mei vervangt de AVG de WBP en vervalt de huidige meldplicht datalekken (tools). Maar onder de AVG blijft de meldplicht in een iets andere vorm voortbestaan en worden de teugels zelfs nog wat strakker aangetrokken. Over het algemeen blijven de regels wel hetzelfde, zo meldt de AP. Wat nieuw is, is dat organisaties alle datalekken moet registreren en niet meer alleen de gemelde datalekken. De AP moet op basis van die registratie kunnen nagaan of aan de meldplicht is voldaan. Ook geldt straks dat een melding niet verplicht is als het onwaarschijnlijk is dat het datalek een risico inhoudt voor ‘de rechten en vrijheden van natuurlijke personen’. Verder wijzigen onder meer de boeteopties. De basisregels voor de meldplicht bij datalekken staan in artikel 33 en 34 van de AVG.

Hoe hoog is de boete bij overtreding van de meldplicht?

De boete voor het niet voldoen aan de meldplicht kan onder de WBP oplopen tot € 820.000 of 10% van de jaaromzet. Onder de AVG mag de AP boetes uitdelen van maximaal € 20 miljoen of 4% van de wereldwijze omzet per jaar. In de praktijk komt het echter niet snel tot boetes. De AP legt vaak eerst een waarschuwing op. Zo waren er in 2017 geen boetes op basis van de meldplicht. Of een boete volgt na een datalek en hoog die precies is, hangt af van de situatie (tool).

Hoe vaak komt zo’n melding nou eigenlijk voor?

Een hack kan voor een datalek zorgen, maar ook het simpelweg versturen van een e-mail met persoonsgegevens naar de verkeerde ontvanger. Dit laatste was bij 47% van de gemelde datelekken in 2017 de oorzaak. In totaal ontving de AP vorig jaar 10.009 meldingen van datalekken, een stijging van ruim 70% ten opzichte van 2016. De meeste meldingen kwamen uit de zorg (3.105), openbaar bestuur (2.000) en financiële dienstverlening (1.984). De AP startte in 2017 635 keer een onderzoek naar beveiliging en mogelijke datalekken. Daar ging niet altijd een melding (e-learning) aan vooraf.

In de rubriek 'Vragen over' behandelt Rendement een onderwerp waar lezers veel vragen over hebben. Heeft u ook een vraag? Stel deze dan aan de adviseurs van de adviesdesk!

Gerelateerd aan dit nieuwsartikel

Laatst toegevoegd

Meest gelezen

E-learningcursussen

  • Wet- en regelgeving voor ondernemers
    • Videocollege 29 minuten

    De cursus 'Wet en regelgeving voor ondernemers' bespreekt achtereenvolgens de hoofdzaken van de Arbowet, de Wet bescherming persoonsgegevens, Regelgeving voor bedrijf en omgeving en...

  • Meldplicht datalekken
    • Videocollege 7 minuten

    De meldplicht datalekken geldt sinds 1 januari 2016. Het houdt in dat uw organisatie een melding moet doen bij de Autoriteit Persoonsgegevens zodra er sprake is van een ernstige...

  • AVG: een introductie
    • Videocollege 14 minuten

    De AVG is vanaf 25 mei 2018 van toepassing en iedere organisatie moet hieraan voldoen. Onderschat niet de aanpassingen die uw organisatie hiervoor moet doen, want het zal een grote...

Heeft u een vraag over Algemene Verordening Gegevensbescherming (AVG)?

André Kamps

Partner, IT-jurist

IT-jurist
Adviseur is nu beschikbaar