Ernstige datalekken voortaan verplicht melden

Een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Vanaf volgend jaar zijn alle bedrijven en overheden verplicht een melding te doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben.

De privacywaakhond publiceerde woensdag zijn definitieve beleidsregels over de nieuwe meldplicht. "De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten", zegt Jacob Kohnstamm, voorzitter van het CBP.

Onlangs kwamen diverse ernstige datalekken in het nieuws: bij speelgoedfabrikant VTech werden gegevens van meer dan 100.000 Nederlandse kinderen gestolen, bij de hack van de website van de Amerikaanse datingsite Ashley Madison kwamen klantgegevens op straat te liggen en bij het Groene Hart Ziekenhuis in Gouda werden medische dossiers gelekt.

Boete
Volgens de toezichthouder moet een datalek worden gemeld als dit "leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens". In sommige gevallen moeten organisaties het lek ook melden aan de gedupeerden. Zij moeten worden geïnformeerd als een datalek "waarschijnlijk ongunstige gevolgen zal hebben" voor hun persoonlijke levenssfeer.

Organisaties die een datalek ten onrechte niet melden, kunnen een boete krijgen die kan oplopen tot maximaal 820.000 euro.

Ernstige datalekken voortaan verplicht melden (Foto: ANP)