Vragen over: meldplicht datalekken en de AVG
Ook onder de Algemene verordening gegevensbescherming (AVG) moeten organisaties ernstige datalekken melden bij de Autoriteit Persoonsgegevens (AP). Maar de regels blijven niet exact hetzelfde.
Momenteel is er in de Wet bescherming persoonsgegevens (WBP) een meldplicht voor datalekken opgenomen. Deze zorgt ervoor dat een organisatie een datalek direct moet melden aan de AP als dit lek leidt tot een ‘aanzienlijke kans op ernstige nadelige gevolgen’. Als het datalek waarschijnlijk ongunstige gevolgen heeft voor de personen op wie de gelekte gegevens betrekking hebben, moet de organisatie die personen ook direct inlichten.
Wat zijn de regels voor de meldplicht onder de AVG?
Op 25 mei vervangt de AVG de WBP en vervalt de huidige meldplicht datalekken (tools). Maar onder de AVG blijft de meldplicht in een iets andere vorm voortbestaan en worden de teugels zelfs nog wat strakker aangetrokken. Over het algemeen blijven de regels wel hetzelfde, zo meldt de AP. Wat nieuw is, is dat organisaties alle datalekken moet registreren en niet meer alleen de gemelde datalekken. De AP moet op basis van die registratie kunnen nagaan of aan de meldplicht is voldaan. Ook geldt straks dat een melding niet verplicht is als het onwaarschijnlijk is dat het datalek een risico inhoudt voor ‘de rechten en vrijheden van natuurlijke personen’. Verder wijzigen onder meer de boeteopties. De basisregels voor de meldplicht bij datalekken staan in artikel 33 en 34 van de AVG.
Hoe hoog is de boete bij overtreding van de meldplicht?
De boete voor het niet voldoen aan de meldplicht kan onder de WBP oplopen tot € 820.000 of 10% van de jaaromzet. Onder de AVG mag de AP boetes uitdelen van maximaal € 20 miljoen of 4% van de wereldwijze omzet per jaar. In de praktijk komt het echter niet snel tot boetes. De AP legt vaak eerst een waarschuwing op. Zo waren er in 2017 geen boetes op basis van de meldplicht. Of een boete volgt na een datalek en hoog die precies is, hangt af van de situatie (tool).
Hoe vaak komt zo’n melding nou eigenlijk voor?
Een hack kan voor een datalek zorgen, maar ook het simpelweg versturen van een e-mail met persoonsgegevens naar de verkeerde ontvanger. Dit laatste was bij 47% van de gemelde datelekken in 2017 de oorzaak. In totaal ontving de AP vorig jaar 10.009 meldingen van datalekken, een stijging van ruim 70% ten opzichte van 2016. De meeste meldingen kwamen uit de zorg (3.105), openbaar bestuur (2.000) en financiële dienstverlening (1.984). De AP startte in 2017 635 keer een onderzoek naar beveiliging en mogelijke datalekken. Daar ging niet altijd een melding (e-learning) aan vooraf.
In de rubriek 'Vragen over' behandelt Rendement een onderwerp waar lezers veel vragen over hebben. Heeft u ook een vraag? Stel deze dan aan de adviseurs van de adviesdesk!