MELDPLICHT DATALEKKEN



Vergelijkbare documenten
BEWERKERSOVEREENKOMST

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Concept Bewerkersovereenkomst uitvoering

Wet bescherming persoonsgegevens (Wbp) en de Wet meldplicht datalekken

Meldplicht datalekken

BEWERKERSOVEREENKOMST GEMEENTE HILVERSUM IN HET KADER VAN DE WET BESCHERMING PERSOONSGEGEVENS (Wbp)

Protocol meldplicht datalekken

Bewerkersovereenkomst uitvoering Vroeg Eropaf

Melden van datalekken

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

gewoondoenreintegratie

Protocol melding en afhandeling beveiligings- of datalek, versie oktober 2018

Protocol datalekken Samenwerkingsverband ROOS VO

Bewerkersovereenkomst

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Procedure Melden beveiligingsincidenten

Bewerkersovereenkomst

DATALEK PROTOCOL. Versie 1.0. / I.D. Wagenaar

Privacyreglement Medewerkers Welzijn Stede Broec

Privacyreglement van De Zaak van Ermelo

Procedure meldplicht datalekken

Reglement bescherming persoonsgegevens Nieuwegein

Cloud computing Helena Verhagen & Gert-Jan Kroese

Stichting Bedrijfstakpensioenfonds voor de Houthandel;

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Privacy in de afvalbranche

Addendum Dataverwerking

Wet meldplicht datalekken

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Verwerkersovereenkomst AVG

Bewerkersovereenkomst

Verwerkersovereenkomst

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Sta eens stil bij de Wet Meldplicht Datalekken

(./; KEURMERK RITRE GIS TRATI ESYSTE MEN. Gedragscode ten behoeve van ritregistratiesystemen

BEWERKERSOVEREENKOMST

PRIVACY REGLEMENT

Gedragscode Privacy RRS

Bijlage Gegevensverwerking. Artikel 1 - Definities

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

MODEL BEWERKERSOVEREENKOMST voor afvalverwerking DE ONDERGETEKENDEN

Onderwerp: Vaststellen geactualiseerde bewerkersovereenkomst gebruik persoonsgegevens (art 14, lid 2 Wbp) - Besluitvormend

PRIVACY REGLEMENT Jeugdtandzorg West, Calandstraat AD Den Haag. Artikel 1 Definities

Verder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.

Privacy reglement (pdf te downloaden in nieuwe pagina)

Privacyreglement CURA XL

Gedragscode Privacy RRS

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement OCA(Zorg)

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Verwerkersovereenkomst

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Meldplicht datalekken en het nieuwe boetebeleid: hoe goed is uw onderneming voorbereid? HR Seminar 26 mei 2016

Transcriptie:

MELDPLICHT DATALEKKEN 2 WETSWIJZIGING Op 26 mei 2015 heeft EK wetsvoorstel voor de Wet meldplicht datalekken aangenomen. Sinds 1 januari 2016 in werking getreden: Nieuw in Wet bescherming persoonsgegevens (Wbp) Boetes tot 820.000 Meldplicht datalekken Dubbele meldplicht Melden: datalekken die ernstige nadelige gevolgen hebben voor de bescherming van persoonsgegevens 1

3 UITGANGSPUNTEN WBP Doel: iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. Artikel 34a WBP De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging,[ ], die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 4 WET BESCHERMING PERSOONSGEGEVENS Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt; Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; Verwerking: elke handeling(en) mbt persoonsgegevens, waaronder verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiding, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen van gegevens. 2

5 DE MELDING Een datalek moet gemeld worden bij de Autoriteit Persoonsgegevens indien het: leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voorde bescherming van persoonsgegevens. (art 34a Wbp) Of een melding vervolgens gedaan moet worden aan betrokkenen is een afweging die je zelf moet maken. Indien er persoonsgegevens van gevoelige aard zijn gelekt (artikel 16 Wbp), moet in beginsel ook aan betrokkenen worden gemeld. - tenzij gegevens voldoende beschermd zijn voor onbevoegden door bijvoorbeeld encryptie en/of hashing. 6 MELDING II Hoe melden aan de Autoriteit Persoonsgegevens? onverwijld (72 uur, indien later motiveren) online portal per fax webformulier 3

7 SCHEMA DATALEK 8 BORGEN RICHTING WERKNEMERS 1 Verplichtingen werkgever: Werkgever dient aan te kunnen tonen dat er voldoende technische en organisatorische maatregelen zijn genomen om een datalek te voorkomen. Werknemer dient op de hoogte te zijn van de mogelijke beveiligingsrisico s en hoe om te gaan met een datalek. 4

9 BORGEN RICHTING WERKNEMERS 2 Hoe kan werkgever dit bewerkstelligen: Stel een Protocol Datalekken op waarin bepaald is hoe, bij wie en wanneer werknemers een datalek moeten melden. Communiceer dit Protocol Datalekken aan en met werknemers. Verwijs naar het Protocol Datalekken in het handboek, gedragscodes/overige reglementen en Intranet. 10 BORGEN RICHTING WERKNEMERS 3 Werkgever kan werknemers binden aan het Protocol Datalekken door dit overeen te komen in de 1) arbeidsovereenkomst, 2) het handboek en/of 3) de gedragscodes/overige reglementen. Werkgever kan een boetebeding overeenkomen met werknemers die voldoet aan de vereisten van artikel 7:650 BW: schriftelijkheidseis, in arbeidsovereenkomst, de voorschriften op de overtreding en het maximale bedrag in geld van de boete dienen te worden vermeld. 5

11 BEWERKERSOVEREENKOMST Bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke, zonder dat hij aan het rechtstreeks gezag van de verantwoordelijke is onderworpen. Verantwoordelijke blijft verantwoordelijk. Moet toezien op naleving door bewerker. Aandachtspunten bewerkersovereenkomst: Exacte omschrijving dienstverlening Onderaannemers? Wijze en tijdstip informeren verantwoordelijke? Omvang informatie per incident? Doorgifte persoonsgevens (EER)? Maatregelen bewerker? (preventief en repressief) Audit? Beschikbaarheid en bereikbaarheid? Vrijwaring 12 AUTORITEIT PERSOONSGEGEVENS De Autoriteit Persoonsgegevens kan eigen onderzoek instellen (artikel 60 Wbp) op grond van een klacht van een belanghebbende op eigen initiatief De Autoriteit Persoonsgegevens kan inlichtingen vorderen, inzage vorderen in zakelijke gegevens, zaken en middelen onderzoeken (waaronder computerapparatuur) en ruimtes betreden, waaronder woningen. (artikel 61 lid 2 Wbp jo. 5:15 Awb) U bent verplicht alle gevraagde medewerking te verlenen 6

13 RISICO S Financieel risico; boete: Maximaal 820.000 Compliance risico: Geen (interne) procedure (sinds 1 januari 2016) De informatie kan niet onverwijld geleverd worden (primaire melding binnen 72 uur, indien later dan dat motiveren) Datalek heeft plaatsgevonden bij een bewerker die nalaat melding te doen aan de verantwoordelijke Bewerkersovereenkomst oude stijl waarin geen clausule over datalekken is opgenomen Bepaalde interne inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn, worden gemist Reputatierisico: Verlies van vertrouwen van cliënten Bekendmaking van boetes door toezichthouder 14 BOETE Regel Melding bij CBP, melding bij betrokkene, bijhouden overzicht inbreuken (artikel 34a lid 1, lid 2, lid 7, lid 8 Wbp) Maximale boete 500.000,- Wijze van kennisgeving aan CBP en betrokkene (artikel 34a lid 3, lid 4, lid 5 en lid 11) 200.000,- Niet-nakoming bindende aanwijzing (artikel 66 lid 5 Wbp) 820.000,- Medewerkingsplicht (inclusief leveren documenten en inzicht in systemen) (artikel 5:20 Awb) 820.000,- 7

15 COMPLIANCE - CALAMITEITEN Wat leg je klaar? Standaard reactie van directie/ raad van bestuur/ manager Voor: Betrokkenen Aandeelhouder Ondernemingsraad Pers Praktisch Brieven (weet ook waar je ze snel kan laten printen) Website die snel kan worden opgetuigd Telefoonnummer voor vragen Instructies voor klantenservice Webcare Call Center 16 LOCATIES TEEKENSKARSTENS LEIDEN Vondellaan 51 P.O. Box 201 2300 AE Leiden T +31 71-535 81 30 F +31 71-535 80 01 E info@tk.nl ALPHEN AAN DEN RIJN Prins Bernhardlaan 4 P.O. Box 402 2400 AK Alphen aan den Rijn T +31 172-41 98 44 F +31 172-43 42 51 E info@tk.nl WWW.TK.NL 8

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback