Sinds 1 januari 2016 zijn organisaties verplicht om ernstige datalekken van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens. In sommige gevallen dient daarnaast melding te worden gedaan aan de mensen van wie de persoonsgegevens zijn gelekt.

De wet verstaat onder een datalek niet slechts een aanval van hackers. Elke toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie, wordt beschouwd als een datalek. Daaronder valt ook een kwijtgeraakte USB-stick met persoonsgegevens of een gestolen laptop. Indien geen melding wordt gemaakt van het datalek terwijl daartoe wel de verplichting bestond, riskeert de organisatie een boete van maximaal EUR 820.000,-.

De Autoriteit Persoonsgegevens heeft in een persbericht aangegeven dat zij tot 15 december 2016, bijna 5.500 meldingen heeft ontvangen. Het grootste deel is afkomstig uit de sectoren gezondheid & welzijn, financiële dienstverlening en het openbaar bestuur. Hierbij kan worden gedacht aan (zorg-)verzekeraars, ziekenhuizen, banken en gemeenten. De meeste meldingen hebben betrekking op gevallen waarbij gegevens per ongeluk bij iemand anders terecht zijn gekomen, dan de bedoeling was. Ruim 100 organisaties hebben een officiële waarschuwing gekregen.

Is binnen uw organisatie (mogelijk) sprake van een datalek en wilt u weten of u het lek moet melden? Neem dan contact op met de specialisten van het Privacy Team van Boels Zanders Advocaten. Ook voor alle overige vragen omtrent de verplichtingen binnen uw organisatie ten aanzien van persoonsgegevens, kunt u bij ons terecht.

Dat is de kracht van ambitie.

Januari 2017