Datalekken melden

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Definitie

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.
Daaronder valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

Een datalek is er bij een inbreuk op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens).

Voorbeelden datalekken

Een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Maar ook een fout van een medewerker die persoonlijke informatie per ongeluk verstuurt naar de onjuiste partij.

Gegevens van gevoelige aard

  • financiële of economische gegevens;
  • gegevens die gebruikt kunnen worden voor (identiteits)fraude, zoals kopieën van legitimatiebewijzen of het BSN-nummer;
  • gebruikersnamen, wachtwoorden en inloggegevens;
  • bijzondere persoonsgegevens, zoals iemands godsdienst, ras of levensovertuiging;
  • andere gegevens die tot stigmatisering of uitsluiting van de betreffende persoon kunnen leiden, zoals strafrechtelijke persoonsgegevens, gegevens over drank- of gokverslaving of gegevens over de prestaties op het werk.

Wanneer en hoe melden?

Indien het datalek tot ernstige gevolgen voor de betreffende persoon kan leiden, dan is het bedrijf verplicht om het datalek te melden bij de Autoriteit Persoonsgegevens.
De melding moet zo snel mogelijk, maar in ieder geval binnen 72 uur na ontdekken van het lek.
Melden kan via https://www.autoriteitpersoonsgegevens.nl onder het kopje ‘Meldplicht datalekken’.