Overtreedt uw bedrijf de privacyregels? Dan mag het College bescherming persoonsgegevens (CBP) straks in meer gevallen een bestuurlijke boete opleggen. Vanaf 1 januari 2016 verandert de wet bescherming persoonsgegevens namelijk. Ondernemers riskeren een hoge boete door deze nieuwe wet!
Boete
Het CBP mag nu alleen een boete opleggen als u een administratief voorschrift overtreedt. Straks kan het CBP ook een boete opleggen bij het schenden van meer algemene verplichtingen rondom het gebruik en de verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is. Ook als de beveiliging niet deugt of als het beheer van persoonsgegevens slecht is georganiseerd of indien gevoelige informatie over burgers (politieke voorkeur of levensovertuiging) is misbruikt, kan het CBP optreden. De boete varieert per 1 januari 2016 van maximaal € 20.225 in de laagste categorie tot maximaal € 820.000 in de hoogste categorie. U als ondernemer bent per 1 januari 2016 daarom verplicht om passende maatregelen te nemen, zoals bijvoorbeeld afdoende beveiliging en automatische encryptie van uw gegevens.
Meldplicht datalek
Het College bescherming persoonsgegevens ondergaat per 1 januari overigens een naamswijziging en heet vanaf dan ‘Autoriteit persoonsgegevens.’ Vanaf die datum zijn private en publieke organisaties die persoonsgegevens verwerken verplicht om inbreuken op de beveiliging te melden die leiden tot bijvoorbeeld diefstal, verlies of misbruik van persoonsgegevens. Het doel van de meldplicht is om tot een betere bescherming van persoonsgegevens te komen. Het CBP heeft beleidsregels gepubliceerd voor de meldplicht datalekken.
Wat is een datalek?
Een datalek is bijvoorbeeld een kwijtgeraakte USB-stick met persoonsgegevens erop, een gestolen laptop of een gehackt databestand. Denk bijvoorbeeld aan bedrijven van wie klantgegevens worden gestolen middels een computerhack. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Privacy
De kern van de meldplicht is dat een datalek gemeld moet worden als de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen groot is. De ernst van de zaak wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt
(bijvoorbeeld geloof, ras, gezondheid, financiële gegevens etc.) en (of en zo ja) hoe de gegevens beveiligd zijn (dat kan door encryptie).
Een datalek moet volgens de wet binnen 72 uren bij de toezichthouder worden gemeld als dit ‘leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.‘ In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek ‘waarschijnlijk ongunstige gevolgen zal hebben‘ voor hun persoonlijke levenssfeer.
Hulp van een advocaat
Heeft er in uw organisatie een datalek plaatsgevonden? Wilt u weten of u dat moet melden? Heeft u een boete opgelegd gekregen en wilt u weten wat daar tegen kan worden gedaan? Bel dan met een advocaat van Sennef de Koning van Eenennaam Advocaten. Wij helpen u verder. Een kennismakingsgesprek is gratis.