Alles wat u moet weten over het melden van een datalek

Sinds 1-1-2016 schrijft de Wet bescherming persoonsgegevens (Wbp) de meldplicht datalekken voor. We leggen hier uit wat dat voor u betekent.

Meldplicht datalekken vanaf 1-1-2016

Uw bedrijf verwerkt persoonsgegevens in opdracht van Nuon. Als een datalek van deze persoonsgegevens plaats vindt bij uw bedrijf, of bij de eventueel door u ingeschakelde sub-bewerkers, moet u dit bij ons melden. Dit moet binnen 24 uur gebeuren, via dit formulier.
Wij zullen vervolgens moeten bepalen of het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens.

Datalek melden

Veelgestelde vragen over het melden van een datalek

1. Waarom ontvangt uw bedrijf een brief over de meldplicht datalekken?

Vanaf 1 januari 2016 is er een wijziging van de Wet bescherming persoonsgegevens (Wbp) in werking getreden die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat bedrijven die persoonsgegevens verwerken, datalekken moeten melden aan Autoriteit Persoonsgegevens. Meer informatie over de beleidsregels en de meldplicht vindt u via de website van de Autoriteit Persoonsgegevens.

Nuon en uw bedrijf hebben een overeenkomst met betrekking tot het verwerken van persoonsgegevens afgesloten. In deze overeenkomst is voor uw bedrijf de verplichting opgenomen, om Nuon onmiddellijk in kennis te stellen van een beveiligingsinbreuk of datalek. In voorkomende gevallen bent u ook verplicht, mee te werken aan het adequaat informeren van klanten resp. betrokkenen.

2. Wat is een datalek?

Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens.

Bij een datalek zijn persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de technische of organisatorische beveiligingsmaatregelen bescherming moeten bieden. Onder onrechtmatige vormen van verwerking vallen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.

3. Wanneer moet u een datalek melden?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een bedrijf, zonder dat dit de bedoeling was. Kort gezegd, als uw bedrijf redelijkerwijs niet kan uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking van persoonsgegevens - die u voor Nuon verwerkt - heeft geleid, dan moet het datalek aan Nuon worden gemeld.

Enkele voorbeelden van inbreuken op de beveiliging die aan Nuon moeten worden gemeld zijn: i) verlies van onbeschermde USB/DVD/CD met persoonsgegevens, ii) een inbraak door een hacker, iii) verzending van e-mail waarin de e-mailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden, iv) verlies van data zonder beschikbaarheid van back-up, v) een malware-besmetting.

4. Moet een bewerker/uw bedrijf eerder een datalek melden aan Nuon?

Klopt het dat een bewerker/uw bedrijf binnen 24 uur aan Nuon een datalek moet melden maar dat Nuon de melding bij de Autoriteit Persoonsgegevens binnen de ruimere termijn van 72 uur kan doen?

Ja, dat klopt. De wettelijke meldplicht datalekken richt zich tot de verantwoordelijke (i.c. Nuon) voor de verwerking van persoonsgegevens. Het is dus aan Nuon om te bepalen of er sprake is van een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

De afweging of een datalek moet worden gemeld aan de toezichthouder Autoriteit Persoonsgegevens en of betrokkenen hierover moeten worden geïnformeerd, is een besluit dat Nuon moet nemen, op basis van de door uw bedrijf verstrekte informatie en haar eigen inschatting.

5. Moet uw bedrijf deze informatie ook doorgeven aan sub-bewerkers?

Mocht uw bedrijf bij de verwerking van persoonsgegevens ten behoeve van Nuon, derde partijen ('sub-bewerkers') inschakelen, dan is de inhoud van deze brief ook van belang voor deze partijen.

Nuon en uw bedrijf zijn overeengekomen dat de verplichtingen voortvloeiende uit de bewerkersovereenkomst ook van toepassing zijn op eventueel door uw bedrijf ingeschakelde derden. De verplichtingen met betrekking tot de meldplicht gelden dus ook voor deze derde partijen. Het is dan ook van belang dat u goede (schriftelijke) afspraken maakt met een derde partij, zodat u tijdig en adequaat wordt geïnformeerd over een inbreuk op de beveiliging of datalek.

6. Wat zijn de consequenties bij niet, niet tijdig of niet volledig melden van een datalek?

Overtreding van de meldplicht datalekken, zoals vermeld in de Wet beschermingspersoonsgegevens, kan door de Autoriteit Persoonsgegevens worden bestraft met een bestuurlijke boete van maximaal EUR 820.000 of 10% van de jaaromzet van een bedrijf.

In de overeenkomst tussen Nuon en uw bedrijf is een bepaling opgenomen dat Nuon bij overtreding van de meldplicht door uw bedrijf een boete kan opleggen. Daarnaast heeft Nuon recht op vergoeding van de door haar geleden en te lijden schade.

Door tijdig volledige informatie te verstrekken over een inbreuk op de beveiliging kunnen Nuon en uw bedrijf eventuele boetes en/of schade voorkomen of minimaliseren.

Meld u aan voor Mijn Nuon

Altijd toegang tot uw persoonlijke gegevens. Eenvoudig uw wijzigingen doorvoeren.

Interessant artikel?