Richtsnoeren meldplicht datalekken bekend

Het College bescherming persoonsgegevens (CBP) heeft onlangs de conceptrichtsnoeren van de meldplicht datalekken gepubliceerd. Deze richtsnoeren helpen u beoordelen of uw organisatie een datalek moet melden of niet.

28 september 2015 | Door redactie

Per 1 januari 2016 wijzigt de Wet bescherming persoonsgegevens (Wbp) die een meldplicht regelt voor datalekken. Door de meldplicht datalekken is uw organisatie verplicht een melding te doen bij het CBP als persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Denk aan inbraak door een hacker, een malware-besmetting, maar ook de verzending van een e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden.

Boete kan oplopen tot maximaal € 810.000

Of u een datalek moet melden bij het CBP hangt af van de ernst van het datalek. Het melden van een datalek is alleen verplicht als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als hier een aanzienlijke kans op is. Meldt u onterecht een datalek niet, dan kan uw organisatie een boete krijgen, die kan oplopen tot maximaal € 810.000.

Tot 19 oktober reageren op conceptrichtsnoeren

Het CPB nodigt belanghebbenden uit om tot 19 oktober te reageren op de conceptrichtsnoeren. Deze reacties worden mogelijk meegenomen in de definitieve versie van de richtsnoeren die op 1 januari 2016 in werking treden. Vanaf die datum verandert ook de naam van het CBP naar Autoriteit Persoonsgegevens. Eventuele datalekken moet u dan dus daar melden.