Op 21 september publiceerde het College bescherming persoonsgegevens (CBP) de conceptrichtsnoeren voor de meldplicht datalekken. Hierin werd uitgelegd wat onder een datalek moet worden verstaan, en wanneer en hoe een datalek gemeld moet worden. Op deze richtsnoeren mochten belanghebbenden reageren. Het CBP zou vervolgens met deze reacties rekening houden bij het opstellen van de definitieve richtsnoeren. Deze richtsnoeren zijn vandaag gepubliceerd. Waar wij natuurlijk benieuwd naar zijn is: wat is er nou precies veranderd ten aanzien van de conceptrichtsnoeren?
De belangrijkste wijziging ten opzichte van de conceptrichtsnoeren is de wijziging van de termijn waarbinnen een een datalek aan de toezichthouder gemeld moet worden. In de conceptrichtsnoeren was deze termijn 2 werkdagen, dit is in de definitieve richtsnoeren aangepast naar 72 uur. In sommige gevallen is deze wijziging nadelig, bijvoorbeeld wanneer een datalek op vrijdag na 17:00 wordt ontdekt. In andere gevallen kan deze wijziging juist voordelig zijn, bijvoorbeeld wanneer een datalek op maandag wordt ontdekt.
Verder geeft het CBP in de richtsnoeren aanvullende informatie over het anonimiseren en pseudonimiseren van gegevens. Ook wordt er meer uitleg gegeven over de onderverdeling in preventieve-, detectieve- correctieve-, repressieve- én herstelmaatregelen, en tevens over wat er onder adequate versleuteling kan worden verstaan. Tot slot benadrukt het CBP dat zij direct een boete van maximaal €820.000,- of 10% van de jaaromzet op kan leggen, als blijkt dat er bij een datalek sprake is geweest van opzet of ernstige verwijtbare nalatigheid.
Uiteraard hebben wij onze factsheet over de meldplicht datalekken geüpdatet aan de hand van de definitieve richtsnoeren. In deze factsheet wordt uitgelegd wat een datalek nou precies is, en wanneer en aan wie een datalek gemeld moet worden. Download onze factsheet om snel en overzichtelijk te zien wat de meldplicht datalekken voor uw organisatie inhoudt.
ICTRecht Academy
