Meldplicht datalekken vraagt aandacht

veb-gdpr-compliant_badge

Sinds het aannemen van het wetsvoorstel in juli dit jaar is iedereen verplicht een inbreuken op beveiligingsmaatregelen voor persoonsgegevens (een datalek) te melden. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

De wet voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met deze wet moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren.

Meldplicht datalekken voor alle verantwoordelijken

Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

Overigens niet uw hostingbedrijf (de bewerker) aansprakelijk maar de eigenaar/beheerder (de verantwoordelijke) van de data. Als verantwoordelijke dient u zelf kenbaar te maken aan uw dienstverlener (de bewerker) hoe deze met uw gegevens om moet gaan.

Bewerkersovereenkomst maakt verantwoordelijkheden duidelijk

Een aandachtspunt bij zowel SaaS als ASP is dat de gegevens niet langer in eigen huis worden beheerd, zodat in een contract met de aanbieder aandacht voor het aspect informatiebeveiliging op zijn plaats is. Met name is te denken aan privacybescherming (er moet misschien een bewerkersovereenkomst worden opgesteld).

De bewerkersovereenkomst moet worden afgesloten tussen de partij die verantwoordelijk is voor de verwerking van persoonsgegevens en de bewerker. De bewerker is de partij die (een deel van) het verwerkingsproces voor de verantwoordelijke uitvoert. Voorbeelden zijn een hostingprovider, leverancier van een SaaS-boekhoudsysteem of een nieuwsbriefservice. De bewerkersovereenkomst moet een op zichzelf staand document zijn, en bevat bepalingen over beveiliging, geheimhouding en verwerkingsbevoegdheden.

Deel jouw gedachten

Er zijn nog geen opmerkingen