Een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Vanaf volgend jaar zijn alle bedrijven en overheden verplicht een melding te doen bij het College bescherming persoonsgegevens (CBP) zodra zij een ernstig datalek hebben.
De privacywaakhond publiceerde woensdag zijn definitieve beleidsregels over de nieuwe meldplicht. 'De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten', zegt Jacob Kohnstamm, voorzitter van het CBP.
Gegevens kinderen
Onlangs kwamen ernstige datalekken in het nieuws over een speelgoedfabrikant waarbij gegevens van meer dan 100.000 Nederlandse kinderen waren gestolen, een Amerikaanse datingsite waarvan de klantgegevens op straat lagen en een ziekenhuis waar medische dossiers waren gelekt.
Nadelige gevolgen
Volgens de toezichthouder moet een datalek worden gemeld als dit 'leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens'. In sommige gevallen moeten organisaties het lek ook melden aan de gedupeerden. Zij moeten worden geïnformeerd als een datalek 'waarschijnlijk ongunstige gevolgen zal hebben' voor hun persoonlijke levenssfeer.
Boete
Organisaties die een datalek ten onrechte niet melden, kunnen een boete krijgen die kan oplopen tot maximaal 820.000 euro.