Op 1 januari 2016 is de Wet Meldplicht Datalekken van kracht geworden als onderdeel van de ‘Wet Bescherming Persoonsgegevens’ (wbp). Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (voorheen het ‘College Bescherming Persoonsgegevens’) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Als klant wordt je in de Wet Meldpicht Datalekken genoemd als ‘verantwoordelijke’ voor de databestanden. AllSolutions wordt als SaaS leverancier in deze wet de ‘verwerker’ genoemd, ondanks het feit dat wij geen gegevens in jullie databestand invoeren.
Afsluiten overeenkomst verplicht
Organisaties die het verwerken van (persoons-)gegevens uitbesteden, zijn sinds 1 januari 2016 wettelijk verplicht met hun service-provider een specifieke overeenkomst af te sluiten. In een dergelijke verwerkersovereenkomst leggen beide partijen vast voor welke doeleinden de gegevens worden verwerkt, welke beveiligingsmaatregelen zijn genomen en welk toezicht de eigenaar van de gegevens mag uitoefenen.
AllSolutions heeft daarom, in overleg met de branchevereniging NLdigital, het voortouw genomen voor het opstellen van een verwerkersovereenkomst met afspraken voor zowel het verwerken van de persoonsgegevens als ook de procedure van de meldplicht bij datalekken. Op deze manier kun jij als klant op eenvoudige wijze aan jouw wettelijke verplichting voldoen.
Veelgestelde vragen
Hieronder vindt je extra informatie over de meldplicht datalekken – en wat deze voor jou en jouw organisatie betekent.
Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.
Wat betekent de meldplicht datalekken voor mij als organisatie?
Treedt er bij jouw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kun je verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens (AP). Of je een datalek wel of niet moet melden, hangt af van de ernst van het datalek.
Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?
Nee. Je hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.
Moet ik alle datalekken melden aan betrokkenen?
Nee. Je hoeft de betrokkenen (de personen van wie je gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.
Hoe meld ik een datalek aan de Autoriteit Persoonsgegevens?
Je kunt een datalek melden via het meldloket datalekken.
Wat doet de Autoriteit Persoonsgegevens met mijn melding van een datalek?
De Autoriteit Persoonsgegevens slaat jouw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.
Wat is de reden voor het afsluiten van een verwerkersovereenkomst?
Sinds 1 januari 2016 is de meldplicht datalekken van kracht. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de ‘Autoriteit Persoonsgegevens’ zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). AllSolutions als SaaS leverancier wordt hierbij gezien als verwerker, ondanks het feit dat wij geen gegevens in jullie databestand invoeren. Vandaar dat wij, samen met onze branchevereniging NLdigital, een verwerkersovereenkomst hebben opgesteld met afspraken voor zowel het verwerken van de persoonsgegevens als ook de procedure van de meldplicht bij datalekken.
Ben ik verplicht een verwerkersovereenkomst af te sluiten?
Volgens de nieuwe wet ben je inderdaad verplicht een verwerkersovereenkomst af te sluiten met alle leveranciers die in contact zijn met persoonsgegevens die je in een databestand vastlegt.
Wie is er verantwoordelijk voor de data?
Als klant ben je volgens de wet verantwoordelijk voor de data.
Waarom heeft AllSolutions deze overeenkomst opgesteld?
AllSolutions wordt volgens de wet gezien als verwerker. Daarom hebben we besloten om samen met onze branchevereniging NLdigital een eenduidige verwerkersovereenkomst te maken voor al onze klanten. Dit document regelt de afspraken tussen jou als klant en AllSolutions als leverancier van jullie omgeving. Je kunt deze overeenkomst zien als een document waarin AllSolutions aangeeft alle noodzakelijke voorzorgsmaatregelen te hebben getroffen om jullie data veilig op te slaan. Op deze manier kun je gemakkelijk aan je wettelijke verplichting voldoen.
Wij hebben toch al een overeenkomst met AllSolutions over SaaS. Waarom dan nog een overeenkomst?
In deze overeenkomst worden aanvullende zaken geregeld, zoals het vastleggen van technische en organisatorische beveiligingsmaatregelen, de afgesproken procedures bij datalekken en afspraken over de verantwoordelijkheden van jou als klant en van AllSolutions als jullie leverancier.
Welke gegevens moet ik (klant) in bijlage 1 – kopje B (aard van de persoonsgegevens) invullen?
In bijlage1 – kopje B geef je aan welke persoonsgegevens je vastlegt, die bij een eventueel datalek zodanig specifiek zijn, dat je volgens de nieuwe wet een melding moet doen bij de ‘Autoriteit Persoonsgegevens’.
Wanneer je niet precies weet wat je hier moet invullen, dan kun je contact opnemen met jouw consultant bij AllSolutions.
De overeenkomst lijkt zo opgesteld dat alle verantwoordelijkheid bij ons als klant ligt?
Dat is juist. Als klant ben je volgens de wet verantwoordelijk voor de vastgelegde data. In de overeenkomst maak je met AllSolutions duidelijke afspraken omtrent de verwerking van de persoonsgegevens en de procedure bij eventuele datalekken, zodat beide partijen precies weten waar ze aan toe zijn. Vanuit AllSolutions zorgen wij ervoor te voldoen aan de beveiligingseisen en jij als klant zorgt ervoor dat je er alles aan doet om geen data te lekken.
Meer informatie
Wil je meer weten over de meldplicht datalekken? Kijk dan op deze pagina van de Autoriteit Persoonsgegevens. Hier vindt je ook het document met de Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens.