Meldplicht datalekken
S
inds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Datalek & Ransomware
Ransomware is malware (kwaadaardige software) die een computer of bestanden gijzelt. Meestal wordt daarna betaling geëist, bijvoorbeeld via prepaidkaarten of Bitcoin. Besmetting verloopt vaak via besmette bestanden, zoals een e-mailbijlage of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Ransomware kan ook bestanden besmetten of gijzelen op aangesloten harde schijven, netwerkopslag, usb-sticks en virtual (cloud) disks.
Melden datalekken
Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken.
In het privacystatement formulier meldplicht datalekken is te vinden hoe de Autoriteit Persoonsgegevens omgaat met de persoonsgegevens van degene die een datalek meldt.
Let op: vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene verordening gegevensbescherming (AVG). Hoewel de meldplicht datalekken blijft bestaan, verandert er mogelijk ook wat voor u.
Beleidsregels meldplicht datalekken
De Autoriteit Persoonsgegevens heeft beleidsregels meldplicht datalekken opgesteld. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.