Een datalek betekent dat er persoonsgegevens zijn vrijgekomen, vernietigd of gewijzigd bij een organisatie zonder dat hier de intentie toe was. Hierbij valt onder andere te denken aan het onrechtmatig verkrijgen van toegang en het verwerken en/of wijzigen van persoonsgegevens. Ook het kwijtraken van persoonsgegevens door bijvoorbeeld een gestolen laptop, verloren USB-stick of een hacker wordt gezien als een datalek, tevens het verliezen van niet opgeslagen data na bijvoorbeeld een brand.
Meldplicht datalekken
De meldplicht datalekken is sinds 1 januari 2016 in het leven geroepen om huidige wetten betreft persoonsgebonden informatie te ondersteunen, waar nodig aan te scherpen of juist uit te breiden. Het doel vanuit de overheid is om de gevolgen van een datalek zoveel mogelijk te beperken, daarnaast willen zij een bijdrage leveren aan het vertrouwen, behoud en herstel van de persoonsgegevens. Eerder was het voldoende een melding te doen bij de toezichthouder, echter is het sinds 1 januari 2016 verplicht ook andere betrokkenen te informeren bij een datalek. Wanneer een organisatie verzuimt een melding te maken, kan dit forse boetes opleveren (tot €820.000,-).
Wat te doen
Ernstige datalekken moeten, indien mogelijk, niet later dan 72 uur na de ontdekking bij de toezichthouder zijn gemeld. Een ernstige lek kan door de hoeveelheid (kwantitatief) maar ook door de gevoeligheid van informatie (kwalitatief) zorgen voor schade. Hierbij valt te denken aan bijvoorbeeld het vrijgeven van gegevens die betrekking hebben op de gezondheid, maar ook kopieën van identiteitsbewijzen. Wat is er dan veranderd? Organisaties zijn sinds 1 januari jongsleden verplicht om alle betrokkenen van de datalek te informeren. Daarnaast kunnen er boetes worden uitgegeven wanneer een organisatie verzuimt een melding te maken. Boetes kunnen onder andere worden opgelegd wanneer:
Een datalek niet wordt gemeld, terwijl dit wel moet;
Persoonsgegevens worden verwerkt zonder toestemming;
De beveiliging omtrent persoonlijke gegevens niet in orde is;
Persoonsgegevens worden overgedragen aan landen buiten de EU.
Call to action - bewerkersovereenkomst
Allereerst is het aan te raden om intern op dezelfde manier om te gaan met datalekken en hier bepaalde procedures voor te ontwikkelen. Daarnaast is belangrijk om goed te inventariseren welke (externe) partijen persoonsgegevens verwerken en met hen een bewerkersovereenkomst te sluiten. In een bewerkersovereenkomst wordt overeengekomen hoe er met persoonsgegevens mag worden omgegaan. Heeft u geen idee hoe u aan zo'n overeenkomst moet komen dan kan Qvision u verder helpen. Voor meer informatie bewerkersovereenkomst kunt u contact opnemen met uw accountmanager.
Meer weten?
Meer weten over de meldplicht of over een bewerkersovereenkomst? Bezoek dan hier de website van Qvision.
Bron: Qvision
Klik hier om de bedrijfsprofielpagina van Qvision in de CorporatieGids 2015 te bekijken.
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.