- 05 dec 2015
Stel: uw bedrijfslaptop wordt gestolen. Vanaf 1 januari moet u dan extra alert zijn. Alle organisaties die persoonsgegevens verwerken, worden met ingang van 1 januari 2016 verplicht om inbreuken op de beveiliging te melden. Het doel van deze meldplicht is het beter beschermen van persoonsgegevens. De bedragen die gemoeid zijn bij overtreding van de meldingsverplichting zijn torenhoog.
Zorgvuldig beheer
Het College bescherming persoonsgegevens (Cbp), dat vanaf 1 januari 2016 van naam wijzigt en Autoriteit Persoonsgegevens gaat heten, kan vanaf 1 januari 2016 in veel meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Denk hierbij aan de situatie dat persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers is misbruikt.
Kwijtgeraakte USB-stick
Bij een datalek gaat het om zaken als:
- Een kwijtgeraakte USB-stick
- Een gestolen laptop
- Verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden
- Een malware-besmetting
- Een calamiteit zoals een brand in een datacentrum
Als er sprake is van een datalek moet u niet alleen binnen twee werkdagen een melding doen aan de Autoriteit Persoonsgegevens, maar ook aan de personen van wie de data zijn gelekt. Dit moet ook zo snel mogelijk gebeuren, maar hiervoor geldt niet de termijn van twee werkdagen.
Maximale boete 10% jaaromzet
Die boetes die vanaf 1 januari 2016 door de Autoriteit Persoonsgegevens kunnen worden opgelegd kunnen oplopen tot maar liefst € 810.000. Er kan zelfs een boete van ten hoogste 10% van de jaaromzet van de rechtspersoon worden opgelegd. De boete als percentage van de jaaropbrengst is bedoeld als een hoger maximum. Dit betekent dat rekening kan worden gehouden met het vermogen van ondernemingen, dat veelal groter is dan dat van privépersonen.