icon

Richtsnoeren meldplicht datalekken – na de melding

In de afgelopen weken hebben we op deze plek uitgelegd wat een datalek is, in welke gevallen zo'n datalek bij het CBP en de betrokkenen moet worden gemeld, wanneer dat moet gebeuren, en hoe. In deze aflevering uit de serie lichten we toe wat het CBP doet met een melding, en wat de verantwoordelijke moet doen ná de melding.

Om met het laatste te beginnen: de verantwoordelijke is verplicht voor zichzelf een overzicht bij te houden van alle datalekken die onder de meldplicht vallen. Datalekken die niet aan het CBP gemeld hoeven te worden, hoeven dus ook niet te worden geregistreerd. Het overzicht moet in ieder geval alle feiten en gegevens over de aard van de inbreuk bevatten en (voor zover van toepassing) de tekst van de melding zoals die aan de betrokkene is gezonden.

De wet vermeldt niet hoe lang het overzicht van datalekken bewaard moet worden. Gelukkig geven de richtsnoeren ook hier weer houvast: het CBP verwacht dat elk gemeld datalek ten minste een jaar geregistreerd blijft. Wanneer het datalek (nog) niet aan de betrokkene hoeft te worden gemeld is die bewaartermijn zelfs minimaal drie jaar. Daarbij wordt van de verantwoordelijke verwacht dat hij jaarlijks evalueert of melding niet alsnog nodig is.

Tot slot, en niet onbelangrijk: wat doet het CBP met uw melding? Allereerst stuurt het een ontvangstbevestiging aan de melder, waarna de melding in het (niet-openbare) register zal worden opgeslagen. Vervolgens zal het CBP de melding bestuderen. Wanneer dit eerste onderzoek aanleiding geeft tot nader onderzoek of actie door het CBP, zal het de verantwoordelijke daarover informeren. Een mogelijke actie is dat het CBP de verantwoordelijke verplicht alsnog de betrokkenen in te lichten. Dat kan als dat ten onrechte nog niet is gebeurd, maar ook als een melding aan de betrokkenen op zichzelf niet verplicht was, maar het CBP dit niettemin een goed idee vindt onder de omstandigheden.

Daarnaast kan het CBP uiteraard ook gebruikmaken van zijn bestuursrechtelijke bevoegdheid om handhavend op te treden. Daartoe staan het CBP verschillende middelen ten dienste. Daaronder ook: het opleggen van een bestuurlijke boete, ongetwijfeld het meest besproken onderdeel van de Wet meldplicht datalekken. In het volgende deel van deze serie leest u hier meer over.

Overzicht van de andere afleveringen van deze serie

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Richtsnoeren meldplicht datalekken – na de melding