Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Definitieve richtsnoeren meldplicht datalekken zijn bekend!

9 december 2015 Door

Op 21 september publiceerde het College bescherming persoonsgegevens (CBP) de conceptrichtsnoeren voor de meldplicht datalekken. Hierin werd uitgelegd wat onder een datalek moet worden verstaan, en wanneer en hoe een datalek gemeld moet worden. Op deze richtsnoeren mochten belanghebbenden reageren. Het CBP zou vervolgens met deze reacties rekening houden bij het opstellen van de definitieve richtsnoeren. Deze richtsnoeren zijn vandaag gepubliceerd. Waar wij natuurlijk benieuwd naar zijn is: wat is er nou precies veranderd ten aanzien van de conceptrichtsnoeren?

De belangrijkste wijziging ten opzichte van de conceptrichtsnoeren is de wijziging van de termijn waarbinnen een een datalek aan de toezichthouder gemeld moet worden. In de conceptrichtsnoeren was deze termijn 2 werkdagen, dit is in de definitieve richtsnoeren aangepast naar 72 uur. In sommige gevallen is deze wijziging nadelig, bijvoorbeeld wanneer een datalek op vrijdag na 17:00 wordt ontdekt. In andere gevallen kan deze wijziging juist voordelig zijn, bijvoorbeeld wanneer een datalek op maandag wordt ontdekt.

Verder geeft het CBP in de richtsnoeren aanvullende informatie over het anonimiseren en pseudonimiseren van gegevens. Ook wordt er meer uitleg gegeven over de onderverdeling in preventieve-, detectieve- correctieve-, repressieve- én herstelmaatregelen, en tevens over wat er onder adequate versleuteling kan worden verstaan. Tot slot benadrukt het CBP dat zij direct een boete van maximaal €820.000,- of 10% van de jaaromzet op kan leggen, als blijkt dat er bij een datalek sprake is geweest van opzet of ernstige verwijtbare nalatigheid.

Uiteraard hebben wij onze factsheet over de meldplicht datalekken geüpdatet aan de hand van de definitieve richtsnoeren. In deze factsheet wordt uitgelegd wat een datalek nou precies is, en wanneer en aan wie een datalek gemeld moet worden. Download onze factsheet om snel en overzichtelijk te zien wat de meldplicht datalekken voor uw organisatie inhoudt.

 

ICTRecht Academy

Wat staat er in een bewerkersovereenkomst en hoe onderhandel je daar over? Hoe zit het met de Meldplicht Datalekken en hoe bereid ik mijn organisatie voor op de Algemene Verordening Gegevensbescherming? Met de trainingen van ICTRecht Academy krijgt u praktische antwoorden op deze vragen.

 

Lisette Meij

Directeur ICTRecht Privacy

Lisette Meij is directeur van ICTRecht privacy. Lisette is gespecialiseerd in de juridische aspecten van privacy en Big Data. Zij houdt zich bezig met ingewikkelde privacyvraagstukken en voert privacyaudits uit bij organisaties.

Daarnaast is zij lid van the International Association of Privacy Professionals (IAPP) en is zij Certified Information Privacy Professional/Europe, United States en Asia (CIPP/E, CIPP/US en CIPP/A), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT). Tevens heeft zij de erkenning ‘Fellow of Information Privacy’ (FIP) van de IAPP ontvangen.