Wet- en Regelgeving

CBP publiceert Beleidsregels Meldplicht Datalekken

Woningcorporaties zijn vanaf 1 januari 2016 verplicht om een lek van persoonsgegevens door beveiligingsproblemen, zogeheten ‘datalekken’, te melden bij de Autoriteit Persoonsgegevens (tot die datum het College bescherming persoonsgegevens). In december 2015 heeft het CBP de definitieve beleidsregels over deze nieuwe meldplicht datalekken gepubliceerd.

Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden. De beleidsregels helpen organisaties bij het bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen.

Voorbeelden datalekken
Onder een datalek valt niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Of een corporatie een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden.

Wetswijziging
Op 26 mei 2015 nam de Eerste Kamer voor deze meldplicht een wijziging van de Wet bescherming persoonsgegevens aan. Naast deze wijziging is er ook een nieuwe Europese Verordening Gegevensbescherming op komst.

Ook los van deze wettelijke verplichtingen is een goede gegevensbescherming essentieel voor een corporatie en haar huurders. Digitale processen moeten op orde zijn. En de rollen en verantwoordelijkheden van de verschillende betrokken corporatiemedewerkers moeten duidelijk zijn. Verder is de communicatie met huurders over de gegevensbescherming belangrijk.

Presentatie
Op 8 december 2015 gaf Simone Fennell, adviseur van onderzoeksbureau Privacy Company, een presentatie voor Aedes-leden over de nieuwe wetgeving over datalekken. De presentatie is hier terug te vinden.