Bekijk:
Thema's
Bank
Bank
Beleggen DSI
Bedrijfsvoering
Compliance
Duurzaamheid & ESG
English
Fintech
Governance
IT- en Vaardigheden
NIBE-SVV-nieuws
Pensioen & Leven
Risicomanagement
Schadeverzekeringen
Wft en Wft-PE
Zorg & Inkomen
Bekijk het aanbod

Autoriteit Persoonsgegevens kleurt meldplicht in

Op Maandag, 9 Mei, 2016, 14:10

Per 1 januari 2016 is de meldplicht datalekken uit de Wet bescherming persoonsgegevens (Wbp) in werking getreden. Hierdoor hebben organisaties die persoonsgegevens verwerken de verplichting om datalekken te melden. De Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens, CBP) heeft haar rol inmiddels opgepakt en heeft een meldloket geopend en beleid uitgewerkt over de vraag of en wanneer een melding van een datalek noodzakelijk is.

Meldloket

Bedrijven, overheden en andere organisaties voor wie de meldplicht datalekken geldt (de ‘verantwoordelijken’ volgens de Wbp) kunnen terecht bij het meldloket op de site van de Autoriteit Persoonsgegevens. Ze moeten zelf een beredeneerde afweging maken of een concreet datalek van persoonsgegevens onder het bereik van de wettelijke meldplicht valt. Wel heeft de Autoriteit Persoonsgegevens beleidsregels uitgewerkt. Deze kunnen dienen als richtsnoer bij het maken van de afweging of men een datalek moet melden of niet. De beleidsregels hebben nog een voorlopig karakter. Ze worden in 2017 definitief vastgesteld.

Beleidsregels

De beleidsregels van de Autoriteit Persoonsgegevens behandelen met name de volgende aspecten:

  1. Wanneer is er een meldplicht?
  2. Wanneer is er sprake van een datalek?
  3. Wanneer en hoe moet men het datalek melden?
  4. Wanneer en hoe moet men het lek melden aan de betrokkenen (degenen van wie de persoonsgegevens zijn gelekt)? 

Wanneer meldplicht?

Om te bepalen óf het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens, en eventueel ook aan de betrokkenen, stelt de Autoriteit Persoonsgegevens een schema ter beschikking:

Wanneer datalek?

Niet ieder beveiligingsincident is een datalek. Daarvan is sprake als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan. Of als onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is. Bij een beveiligingsincident valt bijvoorbeeld te denken aan het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker. Als er alleen een zwakke plek is in de beveiliging, is er sprake van een beveiligingslek en niet van een datalek. Dit hoeft niet te worden gemeld aan de Autoriteit Persoonsgegevens. 

Wanneer melden?

Volgens de wet is melding aan de Autoriteit Persoonsgegevens verplicht als het datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als daar een aanzienlijke kans op is.
Bij persoonsgegevens van gevoelige aard is doorgaans melding nodig. Bijvoorbeeld bij het lekken van:

  • bijzondere persoonsgegevens (art. 16 Wbp): zoals godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, strafrechtelijke persoonsgegevens
  • gegevens over de financiële en economische situatie van betrokkenen: schulden, salaris, betalingsgegevens
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkenen: bijvoorbeeld gokverslaving, aids, relatieproblemen
  • gebruikersnamen, wachtwoorden en andere inloggegevens
  • gegevens die kunnen worden misbruikt voor (identiteits)fraude: het gaat hierbij om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer

De melding moet gedaan worden zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. 

Wanneer melden aan betrokkene?

Volgens de wet is er een meldplicht aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer: denk bijvoorbeeld aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kan men er in principe van uitgaan dat het lek ook aan de betrokkenen gemeld moet worden. En zo snel mogelijk, zodat de betrokkenen beschermingsmaatregelen kunnen nemen.
 
Op financiële ondernemingen, zoals bedoeld in de Wet op het financieel toezicht (Wft), is de verplichting uit de Wbp om datalekken te melden aan de betrokkenen niet van toepassing. Als zij de betrokkenen informeren, doen ze dat op grond van hun zorgplicht als financiële onderneming (Wft). Wel moeten ze uiteraard een datalek melden aan de Autoriteit Persoonsgegevens. 

Versleutelde gegevens

Als passende technische beschermingsmaatregelen zijn genomen, waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kan de melding aan de betrokkenen achterwege blijven. Deze beschermingsmaatregelen kunnen bijvoorbeeld cryptografische bewerkingen zijn, zoals encryptie en hashing (In de informatica wordt een hashfunctie gebruikt om unieke versleutelingen te berekenen.). De Autoriteit Persoonsgegevens wijst ook op de Europese verordening 611/2013, die een nadere invulling geeft aan adequate versleuteling. 

Meer weten?

Bekijk de beleidsregels van de Autoriteit Persoonsgegevens
Ook in de Beursbengel van april 2016 vindt u een uitgebreid artikel over de meldplicht. 

Vernieuwde opleiding CCO

Meer informatie over de omgang met data en privacy biedt onze opleiding Certified Compliance Officer (CCO). Deze opleiding heeft NIBE-SVV recent helemaal vernieuwd.
 
Andere opleidingen op dit gebied van NIBE-SVV:

Deel dit artikel
Wellicht ook interessant

Op Woensdag, 10 Januari, 2024, 12:44

Dubai klimaattop: cruciaal voor financiële dienstverleners

De recente klimaattop in Dubai bracht prominente leiders uit verschillende sectoren samen om de meest urgente kwestie van onze tijd aan te pakken: klimaatverandering. Voor financiële dienstverleners markeert deze top een cruciaal moment dat de weg vrijmaakt voor een nieuw tijdperk in duurzame investeringen en financiële innovatie.

Lees verder

Op Woensdag, 10 Januari, 2024, 12:40

Hoe blijft de fatbike verzekerbaar?

Het aanbod van verzekeringen voor elektrische fatbikes lijkt te slinken vanwege het alarmerend hoge diefstalpercentage. In de zomer van 2023 wordt gemeld dat 9 op de 10 nieuwe elektrische fatbikes gestolen worden, waardoor verzekeraars terughoudend zijn om verzekeringen aan te bieden.

Lees verder

Op Maandag, 15 November, 2021, 13:15

Duurzaamheid en verzekeraars

De nieuwe Europese wetgeving op het gebied van duurzaamheid komt als een lawine op ons af. Voldoende reden om in dit artikel stil te staan bij de impact van deze nieuwe regels voor (her)verzekeraars, evenals voor gevolmachtigde agenten en tussenpersonen. Deze wetgeving bestaat onder andere uit de Transparantieverordening die 12 maart 2021. in werking trad, de Taxonomieverordening die 1 januari 2022 in werking treedt en een aantal belangrijke wijzigingen van bestaande Europese richtlijnen, waaronder Solvency II en de Insurance Distribution Directive (IDD).

Lees verder

Interessante artikelen

Actieve provisietransparantie bij schadeverzekeringen treedt per 1 juli 2024 in
Hogere slagingspercentages met onze vernieuwde Wft-PE
Hypotheekbezitters onbewust van klimaatrisico's: kansen voor hypotheekadviseurs
De meest gestelde vragen over de Wft, PE en PA én de antwoorden
Alles wat je altijd al wilde weten over de Wft
Heb je vragen?
Onze opleidingsadviseurs zijn nu telefonisch bereikbaar. Op werkdagen van 08.30 tot 17.00 uur. WhatsApp van 10.00 tot 16.00 uur.
   035 - 7 506 155
 
   06 - 82 658 644
Schrijf je in voor de Nieuwsbreak
Ontvang maandelijks het laatste nieuws uit de financiële sector en van NIBE-SVV in je mailbox.
Ja, ik meld me aan
Incompany mogelijkheden

Wil je met je team, afdeling of organisatie je kennis en vaardigheden vergroten? Volg samen een training uit ons uitgebreide aanbod. Ook maatwerk mogelijk!

Ontdek details
Volg ons online: 
LinkedIn  YouTube  Facebook
Nieuwsbrief ontvangen?
Aanmelden
Voor bedrijven
Algemene informatie
Veelgestelde vragen
Privacy
Algemene voorwaarden en regelingen
Reviewvoorwaarden
Herroeping
Sitemap
Inloggen e-Connect
NIBE-SVV