Voorbereiding op de nieuwe privacywet AVG | Stap 7: Meldplicht datalekken

Bron: Autoriteit Persoonsgegevens

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde als onder de oude wet Wbp. De AVG stelt wel strengere eisen aan jouw eigen registratie van de datalekken die binnen jouw organisatie hebben voorgedaan. Zo moeten onder de AVG alle datalekken worden gedocumenteerd. De Autoriteit Persoonsgegevens zal aan de hand van deze documentatie controleren of je aan de meldplicht hebt voldaan.

Dit gaat dus iets verder dan de huidige protocolplicht uit de Wet bescherming persoonsgegevens. Deze heeft namelijk alleen betrekking op de gemelde datalekken.

In oktober 2017 hebben de Europese privacytoezichthouders guidelines gepubliceerd over de meldplicht van datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie. Wanneer de guidelines definitief zijn, zal dat landelijk bekend gemaakt worden. 

Tot dat de guidelines definitief zijn, houden we ons aan de meldplicht die sinds 1 januari 2016 van kracht is. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra er sprake is (geweest) van een ernstig datalek. In sommige gevallen moet de datalek ook gemeld worden aan de mensen van wie de persoonsgegevens zijn gelekt.

Beleidsregels meldplicht datalekken

 

De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om je te helpen bij het bepalen of er sprake is van een datalek en of deze moet worden gemeld bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Melden datalekken

Organisaties die een datalek moeten melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.

In het privacystatement formulier meldplicht datalekken is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.