CBP publiceert conceptrichtlijnen meldplicht datalekken

Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptrichtlijnen over de nieuwe meldplicht datalekken gepubliceerd. Het CBP vraagt belanghebbenden te reageren op de conceptversie, waar zij vier weken de tijd voor krijgen.

De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Onder een datalek valt niet alleen het uitlekken van persoonsgegevens, ook maar de vernietiging daarvan en andere vormen van onrechtmatige verwerking. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. De meldplicht datalekken geldt met ingang van 1 januari 2016.

Ernst van een datalek bepalen

Organisaties zullen zelf moeten bepalen of een datalek gemeld moet worden, wat afhangt van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

De conceptversie van de richtlijnen is hier te vinden. Reageren op het concept kan via consultatiedatalekken@cbpweb.nl.