Een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Vanaf volgend jaar zijn alle bedrijven en overheden verplicht een melding te doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben.
Het CBP publiceerde zijn definitieve beleidsregels over de nieuwe meldplicht. “De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten”, zegt Jacob Kohnstamm, voorzitter van het CBP.
>> Lees ook Meldplicht datalekken gaat nu echt in
>> Lees ook 2014: meer datalekken
Ernstig datalek
Onlangs kwamen een ernstig datalek in het nieuws over een speelgoedfabrikant waarbij gegevens van meer dan 100.000 Nederlandse kinderen waren gestolen. Maar ook de klantgegevens van een Amerikaanse datingsite lagen op straat en waren er medische dossiers van een ziekenhuis gelekt.
Volgens de toezichthouder moet een ernstig datalek worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het lek ook melden aan de gedupeerden. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.
Boete
Organisaties die een datalek ten onrechte niet melden, kunnen een boete krijgen die kan oplopen tot maximaal 820.000 euro.