We krijgen veel vragen over de nieuwe privacywetgeving die sinds begin dit jaar van kracht is. Daarom hieronder een overzicht van wat er geldt sinds 1 januari 2016.

Het is voortaan verplicht diefstal, verlies of misbruik van persoonsgegevens te melden aan de Autoriteit Persoonsgegevens en/of de betrokken personen. Voor deze meldplicht is de Wet bescherming persoonsgegevens aangepast. Met ingang van 1 januari 2016 geldt daartoe de “Wet meldplicht datalekken en uitbreiding boetebevoegdheid CBP”.

Als een datalek niet op tijd wordt gemeld kan de Autoriteit Persoonsgegevens een boete opleggen. Hieronder een samenvatting van de nieuwe wetgeving en tips voor de praktijk.

 

Meldplicht

Wie

Iedere organisatie die persoonsgegevens verzamelt (zoals een personeels- of cliëntenbestand)

Wanneer

Als er een inbreuk op de beveiliging van persoonsgegevens (een zogenoemd ‘datalek’) plaatsvindt die ernstige nadelige gevolgen kan hebben voor de bescherming van persoonsgegevens.

Wat

Verplicht om per direct een melding te doen als er een inbreuk op de beveiliging van persoonsgegevens (een zogenoemd ‘datalek’) plaatsvindt die ernstige nadelige gevolgen kan hebben voor de bescherming van persoonsgegevens.

Waar

Melden bij de Autoriteit Persoonsgegevens. Als aannemelijk is dat de inbreuk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben, moet de inbreuk ook aan deze betrokken personen worden gemeld.

Sanctie

Als geen melding wordt gemaakt van een datalek kan dit bestraft worden met oplegging van een (hoge) bestuurlijke boete. Een werkgever heeft er dan ook een groot (financieel) belang bij dat werknemers het kwijtraken van een gegevensdrager en andere voorvallen waarbij mogelijk persoonsgegevens in de handen van derden zijn gevallen, onmiddellijk aan de werkgever melden.

 

Datalek

Een datalek doet zich sneller voor dan wellicht verwacht. Er is namelijk al sprake van een datalek als een van de werknemers een uit hoofde van het dienstverband aan hem of haar ter beschikking gestelde laptop, telefoon, tablet, USB-stick of andere gegevensdrager kwijtraakt of als een van deze bedrijfsmiddelen wordt gestolen. Verder geldt ook het kwijtraken van een dossier als datalek. Er is mogelijk ook sprake van een datalek indien op een gegevensdrager een virus, Trojan of andere door hackers gebruikte ‘malware’ wordt aangetroffen. Ook door het niet goed beveiligen van gegevens of gegevensdragers kunnen grote hoeveelheden persoonsgegevens openbaar worden. Deze en andere voorvallen, waarbij de beveiliging van persoonsgegevens (mogelijk) in het geding is gekomen, moeten direct worden gemeld aan de Autoriteit Persoonsgegevens en/of de personen op wie de gegevens betrekking hebben.

 

Benodigde acties

Vanwege de boetes die kunnen worden opgelegd, heeft een werkgever er een groot (financieel) belang bij dat werknemers het kwijtraken van een gegevensdrager en andere voorvallen waarbij mogelijk persoonsgegevens in de handen van derden zijn gevallen, onmiddellijk aan de werkgever melden.

Vanwege deze nieuwe wetgeving raden wij dan ook aan om aan de (model)arbeidsovereenkomsten voor bepaalde en onbepaalde tijd dan wel het arbeidsvoorwaardenhandboek een nieuw artikel toe te voegen waarin wordt vastgelegd dat werknemers diefstal of verlies van aan hen door de werkgever ter beschikking gestelde bedrijfseigendommen dan wel een ander potentieel datalek binnen de organisatie op straffe van een boete zo snel mogelijk aan de werkgever dienen te melden.

Dit creëert bewustzijn bij de werknemers en geeft de werkgever een middel om aan de verplichtingen te voldoen. En als een tijdige melding achterwege blijft eventueel (financiële) gevolgen daarvan (geheel of gedeeltelijk) bij de medewerker neer te leggen.

Daarnaast is het handig om een duidelijke interne procedure voor melding van (potentiële) datalekken in te stellen, die bij alle werknemers bekend is en bovendien eenvoudig kan worden geraadpleegd (bijvoorbeeld via intranet).

Tot slot is het nu eens te meer van belang om (extra) aandacht te hebben voor het correcte gebruik van persoonsgegevens en goed te blijven monitoren of er een datalek ontstaat dan wel (op korte termijn) kan ontstaan, zodat indien nodig (en wenselijk) een melding direct kan worden gedaan.

Hoe deze wetgeving in de praktijk zal gaan uitwerken en of en wanneer daadwerkelijk boetes zullen worden opgelegd door de Autoriteit Persoonsgegevens zal natuurlijk nog moeten blijken. We houden u op de hoogte.

Deel deze publicatie via
Terug naar het overzicht