Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Geldt de meldplicht datalekken ook voor bewerkers?

27 november 2015 Door

Met enige regelmaat ontvangen wij vragen over de aankomende meldplicht datalekken die per 1 januari 2016 in werking treedt. Door deze wijziging van de Wet bescherming persoonsgegevens zijn organisaties met ingang van het nieuwe jaar verplicht om datalekken te melden bij de toezichthouder en in sommige gevallen ook bij de betrokkenen.

Eén van die vragen heeft betrekking op de bewerkersrol:

Moet ik als bewerker een datalek ook melden bij de toezichthouder?

Een bewerker is de partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Zo is een postbezorger bijvoorbeeld een bewerker voor een webwinkel en kan een softwaredeveloper bewerker voor zijn opdrachtgever zijn.

Het antwoord op de vraag is terug te vinden in de Wbp. Het nieuwe artikel 34a duidelijk immers:

De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging […]

En:

De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk […]

De verplichting ligt dus duidelijk bij de verantwoordelijke. Vindt er bij de bewerker een datalek plaats, dan heeft de bewerker geen wettelijke meldplicht. Uiteraard moet er dan wel uitsluitend sprake zijn van een datalek met persoonsgegevens die in de rol van bewerker worden verwerkt. Gaat het om zijn ‘eigen’ persoonsgegevens, dan dient hij dit wel zelf te melden.

Indien hier met de verantwoordelijke geen heldere afspraken zijn gemaakt, kan dit vervelende gevolgen hebben voor de verantwoordelijke. ‘Zijn’ persoonsgegevens zijn gelekt, dus hij moet dat melden. Maar als de bewerker dit niet mededeelt komt hij er niet achter dat er een datalek heeft plaatsgevonden en kan het achterwege blijven van de melding een boete van de toezichthouder tot gevolg hebben.

Maak als verantwoordelijke daarom altijd heldere afspraken met de bewerker (hallo bewerkersovereenkomst) waarin concrete afspraken over het melden van de datalekken vastgelegd worden.

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.

 

Peter Kager

Directeur ICTRecht Privacy

Peter is directeur van ICTRecht Privacy. Peter staat opdrachtgevers bij op het gebied van privacy, cookies, e-commerce, consumentenrecht en webdevelopment. Hoewel het juridische aspect hierbij centraal staat, maakt Peter dagelijks de koppeling met de praktische kant door het opstellen van adviezen en overeenkomsten, het begeleiden van samenwerkingen en het geven van trainingen en lezingen.