Meldplicht datalekken

Ook de overheid heeft met de per 1 januari 2016 in werking tredende “besluit meldplicht datalekken” en de uitbreiding van de boetebevoegdheid van de Autoriteit Persoonsgegevens (voorheen CBP) aangegeven de bescherming van persoonsgegevens erg belangrijk te vinden.

Wanneer melden

Bij datalekken (bijvoorbeeld een verloren usb stick, gestolen laptop, virusbesmetting van uw computersysteem of digitale inbraak) moet u de Autoriteit Persoonsgegevens en in sommige gevallen bijvoorbeeld ook uw klanten informeren.

Daarbij zijn nieuwe uitgangspunten Privacy by design en privacy by default toegevoegd aan het wettelijke kader, evenals dataminimalisatie, het recht om vergeten te worden, een profileringsverbod en het recht op dataportabiliteit. Ook is het in veel gevallen noodzakelijk of verplicht om periodieke een Privacy Impact Assessment (PIA) uit te voeren en is het verplicht om verwerkers overeenkomsten (voormalige bewerkersovereenkomst) te hanteren.

Data protection officer

In de Algemene Verordening Gegevensbescherming (AVG) is bepaald dat ondermeer alle overheidsinstanties en publieke organisaties en organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen of op grote schaal bijzondere persoonsgegevens verwerken zoals bijvoorbeeld in de zorg, verplicht om een Functionaris Gegevensbescherming aan te stellen.

Niet verplicht maar wel verstandig

Hoewel niet verplicht kan het voor organisaties die niet deze verplichting hebben ook verstandig zijn een Functionaris Gegevensbescherming of een Privacy Officer aan te stellen. Bij organisaties die een FG hebben stelt de Autoriteit Persoonsgegevens zicht qua toezicht terughoudend op.

Verplichtingen

Vanuit de wet bescherming persoonsgegevens bent u verplicht een adequate administratie bij te houden van de persoonsgegevens die u verwerkt, inclusief hoe u toestemming heeft gekregen om met de gegevens te werken en waarvoor u de gegevens gebruikt. U bent verplicht om privacy verklaringen te publiceren in heldere en voor iedereen te begrijpen bewoordingen.

Handhaving

De Autoriteit Persoonsgegevens kan u bij het niet naleven van deze bepalingen kan een boete opleggen van maximaal € 820.000, voor een EU inbreuk zelfs € 20 miljoen of 4% van de maximale wereldwijde omzet. Andere zaken waar u een boete voor kunt krijgen zijn het niet op een behoorlijke en zorgvuldige manier verwerken van persoonsgegevens, het langer dan noodzakelijk bewaren van persoonsgegevens en het niet op een deugdelijke manier beveiligen van de persoonsgegevens.