Bedrijf moet verlies usb-stick met persoonsgegevens gaan melden
Bedrijven en overheden zijn vanaf 1 januari 2016 verplicht om ernstige datalekken te melden, bijvoorbeeld als er een usb-stick met persoonsgegevens kwijt is. Als er alleen sprake is van een zwakke beveiliging die nog geen gevolgen heeft gehad, hoeft er geen melding te worden gemaakt.
Het College Bescherming Persoonsgegevens (CBP) heeft vandaag in kaart gebracht (.pdf) wanneer datalekken moeten worden gemeld. Het college benadrukt dat het altijd aan de betrokken partij is om de afweging te maken. Het datalek moet maximaal 72 uur na ontdekking worden gemeld.
“De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten", aldus CBP-voorzitter Jacob Kohnstamm in een toelichting.
Behalve om een usb-stick kan het gaan om een gestolen laptop of, wat steeds vaker gebeurt, om een hack van gegevens van een server. Dit gebeurde bijvoorbeeld bij het Chinese speelgoed- en gadgetbedrijf Vtech.
Persoonsgegevens
Verder legt het CBP uit wat wordt verstaan onder persoonsgegevens. Het gaat om gegevens die bijvoorbeeld informatie geven over iemands levensovertuiging, ras en politieke gezindheid.
Ook financiële informatie, inlogdata, gegevens die kunnen worden gebruikt bij identiteitsfraude en informatie over bijvoorbeeld een gokverslaving of relatieproblemen vallen hieronder.
Daarnaast schrijft het college dat ook andere factoren een rol kunnen spelen bij het melden van een datalek, zoals de hoeveelheid gelekte informatie.
Gebruikers inlichten
In de richtlijnen schrijft het CBP ook dat een betrokken partij het niet altijd hoeft te melden aan de getroffen personen. Dit is alleen het geval als de gelekte data voor de persoon in kwestie waarschijnlijk nadelige gevolgen kunnen hebben, bijvoorbeeld als het noodzakelijk is om een wachtwoord te wijzigen.
In een reactie aan de NOS benadrukt de privacywaakhond dat het altijd aan het bedrijf of de overheid is om te bepalen of iets moet worden gemeld. Het college kan de partij naderhand wel dwingen om er alsnog melding van te maken bij gebruikers.
Als partijen zich niet aan de nieuwe richtlijnen houden kan het CBP, dat vanaf 1 januari Autoriteit Persoonsgegevens heet, een boete opleggen. Die kan oplopen tot 820.000 euro.