Verplicht datalekken melden

Elke organisatie is na 1 januari verplicht om melding te maken van een datalek. Het moet dan gaan om het kwijtraken van persoonsgegevens, inloggegevens, rekeningnummers van medewerkers, klanten, donateurs e.d. Op het overtreden van deze bepaling kan een fikse boete komen te staan.
 
Bij een datalek wordt al snel gedacht aan een geslaagde hackerspoging, waardoor allerlei persoonsgegevens op straat komen te liggen, maar ook een kwijtgeraakte USB-stick of gestolen laptop met gegevens is ook een datalek.
In al die gevallen moet melding worden gemaakt van een datalek bij het College Bescherming Persoonsgegevens (CBP). In sommige gevallen moet ook bij de personen wiens gegevens gelekt zijn melding worden gemaakt. Als een ondernemer ten onrechte het lek niet meldt, dan kan een boete van maximaal € 810.000 worden opgelegd. 
 
De ondernemingsraad heeft instemmingsrecht op het instellen, wijzigen en intrekken op het gebied van de privacybescherming (artikel 27, 1e lid, onderdeel k). De OR heeft de mogelijkheid om in het overleg met de bestuurder afdoende maatregelen te bespreken om de privacy van medewerkers (en cliënten) te garanderen.
 
Meer lezen over de meldplicht datalekken? Lees (de consultatieversie) ‘De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp)’ Klik hier