070 357 0800

Aanpassing Wet bescherming persoonsgegevens; meldplicht datalekken

Bedrijven en overheden die met persoonsgegevens werken vallen onder de Wet bescherming persoonsgegevens (Wbp) en moeten hiervan in principe melding doen. Sinds 1 januari 2016 is aan deze wet de meldplicht datalekken toegevoegd. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens in het geval van een ernstig datalek. Omdat personeels- en salarisadministraties onder de Wbp vallen geldt de meldplicht datalekken ook voor zorgorganisaties. Zij dienen goede voorzorgsmaatregelen te treffen en duidelijke afspraken met hun softwareleveranciers vast te leggen.

Gelekte persoonsgegevens
Persoonsgegevens zijn gegevens die informatie bevatten over een identificeerbare, natuurlijke persoon. Hiertoe behoren bijvoorbeeld het huisadres of brutosalaris, maar ook de waarde van een eigendom als herleid kan worden van welke natuurlijke persoon het eigendom is. Onder het verwerken van persoonsgegevens verstaat men: het verzamelen, veranderen, combineren, doorsturen of vernietigen van persoonsgegevens. Volgens deze definities vallen ook de personeels- en salarisadministratie onder de Wbp. Een organisatie hoeft hiervan echter geen melding te doen bij de Autoriteit Persoonsgegevens vanwege een vrijstellingenbesluit. Per 1 januari 2016 is de Wbp uitgebreid met de meldplicht datalekken. Indien persoonsgegevens verloren zijn gegaan of onrechtmatig verwerkt, dient dit direct te worden gemeld bij de Autoriteit Persoonsgegevens. Als de persoon van wie de persoonsgegevens zijn gelekt daar nadeel van kan ondervinden, moet het datalek ook aan deze persoon worden gemeld.

Schriftelijke afspraken
De meeste organisaties maken voor hun personeelsadministratie gebruik van software, al dan niet via een onlinedienstverlener. Datalekken kunnen zich vooral door het gebruik van die administratiesoftware voordoen. De software- of onlineleverancier is vaak eerder en beter op de hoogte van een datalek. Toch ligt de verantwoordelijkheid voor de verwerking van de persoonsgegevens en voor het melden van eventuele datalekken altijd bij de organisatie. Daarom is het belangrijk dat organisaties hierover goede afspraken maken met hun software- of onlineleverancier en deze vastleggen. Organisaties moeten zich goed laten informeren over relevante beveiligingsincidenten en over de maatregelen die de leverancier treft om deze te voorkomen. De meldplicht datalekken vergt van iedere organisatie een doortastende en secure werkwijze voor de bescherming van persoonsgegevens.

Meer informatie over de wet bescherming persoonsgegevens:
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/beveiliging-van-persoonsgegevens

Meer informatie over de meldplicht datalekken:
https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken

Sorry, the comment form is closed at this time.