icon

Wet Meldplicht Datalekken – de checklist

De afgelopen weken hebben wij in deze serie de wijzigingen in de Wbp als gevolg van de Wet Meldplicht Datalekken (inwerkingtreding over twee weken) besproken. We hopen te hebben duidelijk gemaakt wanneer u in actie moet komen, wat u dan moet doen en wat de mogelijke gevolgen zijn als u dat niet doet. In het onderstaande vatten we alles nog eens heel kort samen in de vorm van een checklist, met verwijzingen naar eerdere delen van de serie.

Heb ik een datalek?
Ja, als persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking, terwijl niet redelijkerwijs kan worden uitgesloten dat dergelijk verlies of onrechtmatige verwerking ook daadwerkelijk heeft plaatsgehad. (Zie deel 2).

Moet ik melden bij de Autoriteit Persoonsgegevens (voorheen CBP)?
Ja, als er daadwerkelijk een datalek is (geweest): zie boven (en/of deel 2). En als bovendien moet worden vastgesteld:

  • dat dit datalek gevoelige persoonsgegevens betrof (wat dat zijn las u in deel 3, alinea 4; dan dus altijd melden),
  • óf als de omvang van het lek daartoe aanleiding geeft
  • óf als de aard van het lek daartoe aanleiding geeft (meer in deel 3, alinea 5).

Moet ik melden aan de betrokkenen?

  • Altijd als de persoonsgegevens werden verwerkt in het kader van een financiële zorgplicht.
  • Daarnaast als het lek ook al gemeld moest worden aan de Autoriteit Persoonsgegevens terwijl bovendien:
    • gegevens zijn blootgesteld aan vernietiging of aantasting (zie deel 4, alinea 7)
    • óf de gegevens niet passend technisch waren beveiligd (wat passend is las u in deel 4, alinea 6) , terwijl er waarschijnlijk ongunstige gevolgen zijn voor de persoonlijke levenssfeer van de betrokkene:
      • omdat het gevoelige persoonsgegevens betreft (zie deel 3, alinea 4)
      • of andere omstandigheden dat waarschijnlijk maken (voorbeelden vanuit deel 4, alinea 8)

Wanneer krijg ik een boete?
Die kans is aanwezig als u een bepaling van de Wbp overtreedt, ook als die over iets anders gaat dan de meldplicht (zie deel 6, alinea 3, maar bijvoorbeeld ook deel 9) en als u bovendien:

  • opzettelijk of ernstig verwijtbaar nalatig hebt gehandeld
  • óf een als gevolg van de overtreding door de Autoriteit Persoonsgegevens opgelegde bindende aanwijzing niet hebt opgevolgd.

U hoeft de boete niet meteen te betalen als u daartegen in beroep gaat. (Zie over dit alles deel 7).

Wat is er nu precies gewijzigd in de wet?
Zie daarvoor onze redline versie van de Wbp, te vinden vanuit deel 8.

Het bovenstaande biedt de echte harde kern van de meldplicht. Onze serie had nog meer delen, waarin de overige aspecten aan de orde kwamen. U vindt ze hier terug:

Afl. 1: Inleidend overzicht nieuwe wetsbepalingen
Afl. 2: Richtsnoeren CBP: wat is een datalek?
Afl. 3: Meldplicht CBP: bij welke datalekken, wanneer, hoe?
Afl. 4: Datalekken melden aan betrokkenen – wanneer?
Afl. 5: Richtsnoeren meldplicht datalekken – na de melding
Afl. 6: Meldplicht datalekken: de boetes van het CBP (1)
Afl. 7: De boetes van het CBP (2): wanneer krijgt u een boete?
Afl. 8: "Maar waar staat dat dan?" – de wijzigingen van de Wbp in beeld
Afl. 9: Bewerkers en de Wet Meldplicht Datalekken
Afl.10:Wet meldplicht datalekken: De Checklist

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Wet Meldplicht Datalekken – de checklist