Meldplicht datalekken, de tussenstand!

Sinds januari 2016 is de wettelijke meldplicht datalekken van kracht. Als er sprake is van een datalek, dan dient een organisatie deze binnen 72 uur na de ontdekking hiervan te melden bij de Autoriteit Persoonsgegevens. Tot nu toe heeft de Autoriteit Persoonsgegevens slechts 1600 meldingen van datalekken gekregen. Dit lage aantal meldingen doet vermoeden dat er nog steeds veel datalekken niet worden gemeld, ondanks dat het niet-melden tot hoge boetes kan leiden.

Bij de totstandkoming van de meldplicht datalekken werd er geschat dat er jaarlijks 66.000 meldingen binnen zouden komen. Het aantal gedane meldingen wijkt ver af van de aanvankelijke schatting. Zijn er zoveel minder datalekken dan verwacht of worden de datalekken niet gemeld bij de Autoriteit Persoonsgegevens?

Organisaties zijn nog onvoldoende voorbereid op het melden van datalekken

Vermoedelijk zijn organisaties nog onvoldoende toegerust op de nieuwe meldplicht datalekken. Om binnen 72 uur een melding van een datalek bij de Autoriteit Persoonsgegevens te doen, moet een organisatie een goed beleid hebben opgesteld. Voor werknemers moet het duidelijk zijn wat een mogelijk datalek is, maar ook op welke manier hun organisatie daarmee omgaat.

Er is al sprake van een datalek als er bijvoorbeeld een USB-stick met gevoelige gegevens in de trein wordt verloren of als er per ongeluk een CC-veld wordt gebruikt in plaats van een BCC-veld bij een mailing. Dit zijn voorbeelden die met voldoende oplettendheid en een goed beleid veelal voorkomen kunnen worden.

De consequenties van een datalek kunnen ernstig zijn. De boetes van de Autoriteit Persoonsgegevens kunnen oplopen tot € 820.000,- of 10% van de jaaromzet. Daarnaast is er een groot risico op reputatieschade, wanneer een datalek bij uw organisatie is voorgekomen.

Voorkom dat u de eerste organisatie bent die een boete krijgt van de Autoriteit Persoonsgegevens voor het niet-melden van een datalek binnen de gestelde termijn en regel uw datalekbeleid!