Meldplicht datalekken

In 2016 is de wet “meldplicht datalekken” ingegaan. Deze wet voegt aan de bestaande Wet Bescherming Persoonsgegevens (WBP) een belangrijk artikel toe: artikel 34a. Dit artikel bepaalt dat bij een datalek, waarbij een aanzienlijke kans bestaat op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens, er een melding moet worden gedaan aan het Autoriteit Persoonsgegevens (voorheen het CBP). Wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene (degene wiens persoonsgegevens het betreft), moet deze betrokkene ook geïnformeerd worden. Bij te verwachten ongunstige gevolgen valt bijvoorbeeld te denken aan mogelijke identiteitsfraude.

In de wet was eerder al geregeld dat bedrijven die persoonsgegevens verwerken “passende technische en organisatorische maatregelen” moeten nemen, om deze persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking. Nu is daar dus een extra verplichting aan toegevoegd, voor het geval deze beveiligingsmaatregelen niet het gewenste effect blijken te hebben gehad. Het niet voldoen aan deze verplichting kan grote gevolgen hebben. Naast de reputatieschade die kan optreden bij het niet adequaat reageren op een datalek, kunnen er ook juridische consequenties zijn.  Zo kan uw bedrijf een boete verschuldigd zijn wanneer er ten onrechte niet gemeld wordt. Deze kan oplopen tot € 820.000,- of 10% van de jaaromzet.