Met ingang van 1 januari 2016 geldt een wijziging van de Wet bescherming persoonsgegevens die een meldplicht regelt voor datalekken.
De Meldplicht Datalekken houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken moeten melden aan de Autoriteit Persoonsgegevens, voorheen het College bescherming persoonsgegevens.
Een datalek is een inbreuk op de beveiliging van persoonsgegevens (vernietiging of op andere wijze verloren gaan, aantasting, onbevoegde kennisneming, wijziging of verstrekking) en dient binnen twee werkdagen te worden gemeld als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Indien een datalek waarschijnlijk ongunstige gevolgen heeft c.q. zal hebben voor de persoonlijke levenssfeer van de persoon van wie de persoonsgegevens zijn gelekt en er geen zwaarwegende redenen zijn om de melding achterwege te laten, dient een datalek ook aan de betreffende persoon te worden gemeld.
De Meldplicht Datalekken richt zich tot de verantwoordelijke voor de verwerking van persoonsgegevens. De verantwoordelijke is degene die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Een bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreekse gezag van de verantwoordelijke is onderworpen. Een bewerker dient de verantwoordelijke te informeren over de datalekken waarvan hij kennis krijgt. De verantwoordelijke dient een datalek te melden bij de Autoriteit Persoonsgegevens. Afspraken tussen de verantwoordelijke en een bewerker dienen te worden vastgelegd in een bewerkersovereenkomst.
Mocht u meer informatie willen over hoe de Meldplicht Datalekken geborgd is binnen Kredietinformatiebureau EDR dan kunt u contact opnemen met onze Privacyfunctionaris via pf@edrcreditservices.nl.
Indien u een datalek melding wilt maken, klik hier.
