Ernstige datalekken voortaan verplicht melden

usbstick_data_datalek_800.jpg

Een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Vanaf volgend jaar zijn alle bedrijven en overheden verplicht een melding te doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben.

De privacywaakhond publiceerde woensdag zijn definitieve beleidsregels over de nieuwe meldplicht. 'De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten', zegt Jacob Kohnstamm, voorzitter van het CBP.

'Melden bij kans op nadelige gevolgen'

Onlangs kwamen ernstige datalekken in het nieuws over een speelgoedfabrikant waarbij gegevens van meer dan 100.000 Nederlandse kinderen waren gestolen, een Amerikaanse datingsite waarvan de klantgegevens op straat lagen en een ziekenhuis waar medische dossiers waren gelekt.

Volgens de toezichthouder moet een datalek worden gemeld als dit 'leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens'. In sommige gevallen moeten organisaties het lek ook melden aan de gedupeerden. Zij moeten worden geïnformeerd als een datalek 'waarschijnlijk ongunstige gevolgen zal hebben' voor hun persoonlijke levenssfeer.

Organisaties die een datalek ten onrechte niet melden, kunnen een boete krijgen die kan oplopen tot maximaal 820.000 euro.

Bron: ANP