Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra een ernstig datalek heeft plaatsgevonden. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

 

Vanaf 25 mei 2018 gaat de nieuwe Europese privacywet in, de Algemene verordening gegevensbescherming (AVG). De AVG stelt strengere eisen aan de eigen registratie van de datalekken die zich in organisaties hebben voorgedaan. Dit geldt ook voor ons als muziekvereniging.

 


Wat is een datalek?
 Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Een datalek is een beveiligingsincident waarbij persoonsgegevens gelekt zijn. Dit kan gaan om een ongeoorloofde toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens. Van een datalek is alleen sprake als er persoonsgegevens zijn gelekt. Voorbeelden van datalekken zijn:

 

-          Je raakt een USB-stick met daarop persoonsgegevens kwijt.

 

-          Er is een laptop gestolen met daarop persoonsgegevens.

 

-          Er is door een hacker ingebroken in een databestand of systeem (met daarop persoonsgegevens).

 

-          Er is een mailing verstuurd met alle e-mailadressen in de Aan of CC in plaats van BCC.

 

-          Uit een tas zijn papieren gestolen met daarop persoonsgegevens.

 

-          Door een crash van een harddisk of door brand zijn persoonsgegevens verloren gegaan en er is geen back-up.

 

 

 

In bepaalde gevallen ben je verplicht melding te doen van een datalek bij de Autoriteit Persoonsgegevens. Ook kan het zo zijn dat je de betrokkenen moet informeren over het datalek. Dit zijn de personen van wie je gegevens verwerkt.

Meld je een datalek niet terwijl je dit volgens de wet wel had moeten doen? Dan kan de Autoriteit Persoonsgegevens je een (flinke) boete geven. Ook is het belangrijk dat je alle datalekken vastlegt. Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of je aan de meldplicht hebt voldaan.

 

 

Melden datalekken
Een (vermoeden van een) datalek dien je direct te melden bij het bestuur van de Muziekvereniging. Zij zullen bepalen of er sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en eventueel aan de betrokkenen. Het is belangrijk dat het incident snel gemeld wordt, want als het doorgegeven moet worden aan de Autoriteit Persoonsgegevens, moet dat binnen 72 uur.

 

 

 

Bronnen:
autoriteitpersoonsgegevens.nl
avg-programma.nl