Nog relatief onbekend is de meldplicht rond datalekken, zo blijkt uit het NIRPA’s Trendonderzoek Salarisprofessionals 2017. Deze meldplicht gaat komende jaren effect krijgen voor salarisadministrateurs, omdat zij met veel privacygevoelige informatie werken. Weet u wanneer u een datalek moet melden bij de Autoriteit Persoonsgegevens?
Ruim 1 op de 5 de salarisadministrateurs geeft in het trendonderzoek aan dat er geen procedure is die voorschrijft hoe er omgegaan moet worden met datalekken. 19 procent zegt niet geïnformeerd te zijn over of onbekend te zijn met een dergelijke procedure.
Melding doen bij ernstig datalek
De meldplicht datalekken geldt sinds 1 januari 2016. Deze meldplicht houdt in dat organisaties – zowel bedrijven als overheden – direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Wanneer datalek melden?
U hoeft niet ieder datalek te melden aan de Autoriteit Persoonsgegevens.
Volgens de wet moet u een melding doen aan de Autoriteit Persoonsgegevens als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.
Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk.
Persoonsgegevens van gevoelige aard
Bij persoonsgegevens van gevoelige aard moet u denken aan:
- Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp
Het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. - Gegevens over de financiële of economische situatie van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over (problematische)schulden, salaris- en betalingsgegevens. - (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene
Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. - Gebruikersnamen, wachtwoorden en andere inloggegevens
De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. - Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (bsn).
Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. Maar let op: als de aard van de gelekte gegevens daar aanleiding toe geeft is het mogelijk dat u een datalek moet melden waar de persoonsgegevens van slechts één persoon bij betrokken zijn.
Voorbeelden van datalekken die moeten worden gemeld aan de Autoriteit Persoonsgegevens:
- Een journalistiek programma confronteert een bedrijf met het feit dat als gevolg van een beveiligingslek onder andere persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van het bedrijf door onbevoegden zijn ingezien;
- Een medewerker verliest een laptop met onversleutelde, financiële klantgegevens.
Meldplicht datalekken op site Autoriteit Persoonsgegevens
Bron: Salarisnet.nl