Datalekken in de AVG

De nieuwe Algemene Verordening Gegevensbescherming (AVG) stelt eisen rondom het melden van datalekken. De Nederlandse overheid regelde al in 2016 dat organisaties die te maken hebben met bijvoorbeeld onbedoelde toegang, vernietiging of verlies van persoonsgegevens dat direct moeten melden bij de Autoriteit Persoonsgegevens (AP). Bij ernstige datalekken moet er ook een melding worden gedaan bij degene waar de persoonsgegevens over gaan: de zogenaamde betrokkene.
De huidige wetgeving in Nederland, de Wet bescherming persoonsgegevens (Wbp), is gebaseerd op de Europese Privacyrichtlijn uit 1995. De AVG is geen richtlijn, maar een verordening. Dat houdt in dat bij inwerkingtreding van deze verordening, de regels direct toepasbaar zijn in alle lidstaten. De Wbp komt dan te vervallen en de AVG wordt van kracht. Dat houdt ook in dat de regelgeving omtrent datalekken verandert.

Wat verandert er?

Datalekken dienen in principe nog steeds alleen gemeld te worden wanneer er sprake is van een risico voor de betrokkene. De AVG stelt echter wel strengere eisen aan de documentatieplicht. Alle datalekken, ook diegene die niet gemeld worden, moeten worden vastgelegd. Zo kan de AP controleren of is voldaan aan de meldingsplicht. De boetes die kunnen worden opgelegd zijn in de Wbp al hoog (tot €820.000). Met de introductie van de AVG kunnen deze oplopen tot €20 miljoen of 4% van de wereldwijde omzet.

In de volgende editie van de nieuwsbrief gaan we verder in op de eisen die de AVG stelt aan bewerkersovereenkomsten. Nog niet ingeschreven voor onze nieuwsbrief? Doe dat dan snel hier!