Meldplicht datalekken

De meldplicht datalekken is ingevoerd op 1 januari 2016 en is ook onder de AVG van kracht. Deze meldplicht houdt in dat  organisaties melding moeten maken bij de Autoriteit Persoonsgegevens (AP) van een ernstig ‘datalek’.  En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Om een datalek aan de AP en eventueel de betrokkenen te kunnen melden, moet hiervan natuurlijk eerst intern melding worden gemaakt.

Bij een datalek is er sprake van inbreuk op de beveiliging van persoonsgegevens. Het gaat dan om toegang tot of vernietiging, wijziging, verlies of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Onder een datalek valt dus niet alleen het daadwerkelijk vrijkomen/lekken en verwerken van persoonsgegevens, maar ook als de mogelijkheid daartoe aanwezig is.

Enkele voorbeelden van datalekken:

  • een kwijtgeraakte, niet versleutelde, USB-stick met persoonsgegevens;
  • uitgeprinte documenten met persoonsgegevens die onbeheerd bij een kopieerapparaat liggen;
  • anonieme enquêteresultaten die toch herleidbaar blijken te zijn tot respondenten;
  • toegang hebben tot persoonsgegevens waar u uit hoofde van uw functie geen toegang toe zou moeten hebben;
  • het versturen van gevoelige (persoons)gegevens langs een onveilige weg of naar een onjuist e-mailadres (dus naar iemand waarnaar het niet bedoeld was);
  • of inbraak in een computer met persoonsgegevens door een hacker.

Overzichten AP meldingen datalekken

De AP publiceert elk kwartaal een totaaloverzicht van alle gemelde datalekken. Daarnaast gaat de AP in een aantal sectorspecifieke overzichten dieper in op de datalekken uit bepaalde sectoren. Zie: Overzichten meldingen datalekken.