Op 1 januari 2017 is het alweer een jaar geleden dat de Wet bescherming persoonsgegevens is ingegaan. Dit meld plicht datalekken is vastgelegd in de Wet bescherming persoonsgegevens en zorgt ervoor dat organisaties verplicht zijn om een melding te doen wanneer er een inbreuk is geweest op persoonsgegevens (privacy). De meldplicht datalekken is gebaseerd op het recht op privacy, of meer specifiek nog: het recht op eerbieding en bescherming van de persoonlijke levenssfeer en het feit dat er zorgvuldig wordt omgegaan met persoonsgegevens. Hoe het recht van privacy precies in elkaar steekt, staat uitvoerig beschreven in de Wet bescherming persoonsgegevens. Wat deze wet onder andere doet, is de organisaties die te maken hebben met persoonsgegevens een aantal verplichtingen voorleggen. Deze moeten ervoor zorgen dat er verantwoordelijk wordt omgegeven maar de gegevens, en dat het zo snel mogelijk wordt gemeld wanneer er onzorgvuldig met deze gegevens is omgegaan of wanneer er een lek heeft plaats gevonden.

 

Wanneer moet een datalek gemeld worden?

Wanneer er geen sprake is van een beveiligingsincident, hoeft het niet gemeld te worden. Zijn er persoonsgegevens verloren gegaan? Dan is het zeker een datalek, evenals wanneer er onrechtmatige verwerking heeft plaatsgevonden. Ook wanneer het datalek betrekking heeft op gevoelige gegevens met een risico op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens, is er wel degelijk sprake van een lek. Tot slot ook nog een belangrijk punt: wanneer moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens en wanneer aan de betrokkene partij? Wanneer de gelekte gegevens nadelig kunnen uitpakken voor de betrokkene partij, is het van groot belang dat zij ook worden ingelicht. Wanneer het alleen gaat om gelekte informatie die van de desbetreffende partij niet voor nadelen kan zorgen, hoeft alleen de Autoriteit Persoonsgegevens op de hoogte gebracht te worden.