Niemand wil dat zijn persoonlijke gegevens op straat komen te liggen. Zeker niet als het om gevoelige informatie gaat zoals gezondheid of de privé situatie. Daarom moeten partijen die persoonsgegevens verwerken en gebruiken deze op een goede manier beveiligen. Deze belangrijke verplichting is al vanaf de inwerkingtreding van de Wet bescherming persoonsgegevens in deze wet verankerd, en terecht.
1 januari 2016: datalekken melden aan AP
Per 1 januari 2016 is daar een verplichting bijgekomen. Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens (AP), als door dit lek een aanzienlijke (kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens ontstaat. Melding kan via een formulier op de website van de AP, in principe binnen 72 uur nadat het lek is ontdekt.
Ernstige nadelige gevolgen
Tja, hoe bepaal je dat dan, die ernstige nadelige gevolgen? De Beleidsregels meldplicht datalekken van de AP die op 16 december 2015 in de Staatscourant zijn gepubliceerd, geven daarvoor een aantal handvatten. Een belangrijk aanknopingspunt is uiteraard de aard van de gelekte persoonsgegevens. Hoe gevoeliger de gegevens, hoe eerder melding moet worden gedaan. Voorbeelden zijn gezondheidsgegevens, gegevens over seksuele voorkeur, religie, maar ook gegevens over iemands financiële situatie.
Datalek
En een datalek, wat moet daar dan precies onder worden verstaan? Ook hier geven de eerder genoemde Beleidsregels een aantal voorbeelden die richting geven, zoals een gestolen laptop of een hackerinbraak.
Soms ook melden aan betrokken personen
Naast melding aan de AP, moet in bepaalde gevallen ook melding worden gedaan aan de personen van wie de gegevens zijn gelekt. Dat is het geval als er sprake is van ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene. Ook bij deze afweging is de aard van de gegevens van belang en verder of de betrokken gegevens door bijvoorbeeld cryptografie onbegrijpelijk voor derden zijn.