CBP publiceert beleidsregels voor melding datalek

Nieuws Algemeen Nederland 9 DEC 2015
CBP publiceert beleidsregels voor melding datalek

Het College Bescherming Persoonsgegevens (CBP) heeft de beleidsregels gepubliceerd voor de meldplicht datalekken. Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt.

De definitieve beleidsregels zijn een update van de begin 2013 gepubliceerde richtsnoeren. Ze zijn bedoeld voor het bedrijfsleven om te bepalen wanneer een melding moet worden gedaan, want er zitten meerdere drempels in de verplichting. Een gevonden zwakke plek in beveiliging van gegevens is nog niet meteen een datalek. Verder zijn sommige persoonsgegevens gevoeliger, zoals wachtwoorden, of medische gegevens.

Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.

In sommige gevallen moeten ook personen geïnformeerd worden wier gegevens zijn verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Telecomaanbieders vallen onder twee meldplichten, die uit de Wbp en die uit de Telecommunicatiewet. Het CBP heeft maatregelen genomen om dubbele meldingen tegen te gaan. Voor bedrijven onder de Wet Financiële Transacties (Wft) gelden alleen de verplichtingen van dat toezicht.

Bij overtredingen kan de Autoriteit Persoonsgegevens – per 1 januari de opvolger van het CBP – een bestuurlijke boete opleggen van ten hoogste 820.000 euro. Een zaak kan ook eindigen in een bindende aanwijzing.

Categorieën:

Algemeen

Bedrijven:

CBP

Landen:

Nederland

Tags:

Security, Government policy, Legislation - Lawsuits

Gerelateerde artikelen

NEDERLAND 8 JUL 2016

Autoriteit Persoonsgegevens kan datalek zwaarder beboeten

De Autoriteit Persoonsgegevens heeft haar boetebeleidsregels aangepast. Voor overtredingen van de meldplicht datalekken is de maximale boete verdubbeld tot 900.000 euro per overtreding. De AP neemt drie verschillende categorieën overtreding als basis, met per categorie een ander boetemaximum. Vervolgens worden verzwarende of verzachtende omstandigheden meegewogen. Deze verhoging is in lijn met de wijziging van de Telecommunicatiewet. Ook ACM kan sinds 1 juli zwaardere sancties opleggen.

NEDERLAND 29 FEB 2016

V&J: nog geen sprake van budgetproblemen bij AP

Het is niet vastgesteld dat de Autoriteit Persoonsgegevens budget tekort komt, schrijft minister Van der Steur van V&J aan de Tweede Kamer. De Kamer had gevraagd om een reactie op een interview van NRC Handelsblad van 30 januari, waarin AP-collegevoorzitter Jacob Kohnstamm waarschuwt voor gebrek aan middelen en mankracht. Van der Steur stelt voorop dat de handhaving van regels altijd moet gebeuren binnen de kaders van de beschikbare middelen en capaciteit. De belangrijkste prioriteiten worden aangepakt op b

NEDERLAND 29 JAN 2016

Autoriteit Persoonsgegevens trekt de lijnen van het CBP door

De Autoriteit Persoonsgegevens (AP) heeft de prioriteiten bekendgemaakt voor 2016. De naam CBP bestaat niet meer, maar op hoofdlijnen gaat het om dezelfde aandachtsgebieden als in de afgelopen jaren: beveiliging van persoonsgegevens, big data & profiling, medische gegevens, persoonsgegevens bij de (digitale) overheid en persoonsgegevens in de arbeidsrelatie. Wel worden naar aanleiding van maatschappelijke en technologische ontwikkelingen, zowel nationaal als internationaal, andere accenten gelegd. Nieuw per

NEDERLAND 22 JAN 2016

AP: beveiliging persoonsgegevens bij gemeenten niet op orde

Bij een aantal gemeenten in Nederland is de beveiliging van persoonlijke gegevens niet op orde. Dat concludeert de Autoriteit Persoonsgegevens na onderzoek bij dertien gemeenten. Deze gemeenten maken gebruik van Suwinet, een besloten systeem waarmee overheden persoonsgegevens kunnen uitwisselen. Volgens de AP bleken sommige gemeenten laks om te springen met toegangsrechten en is er door ambtenaren van het systeem misbruik gemaakt om bijvoorbeeld de gegevens van bekende Nederlanders te raadplegen.

NEDERLAND 11 JAN 2016

Autoriteit Persoonsgegevens: sancties openbaar

De Autoriteit Persoonsgegevens heeft nieuwe beleidsregels vastgesteld voor de openbaarmaking van sancties. Openbaarmaking is bedoeld om te laten zien welk werk de privacytoezichthouder doet en om maatregelen effectiever te maken. Over lopend onderzoek wordt nooit iets naar buiten gebracht. Als een onderzoek is afgesloten, worden de namen van bedrijven wel bekendgemaakt, al kan een bedrijf wel (via de rechter) proberen om dat te voorkomen. De beleidsregels van het vroegere CBP uit november 2013 zijn ingetrok

NEDERLAND 6 JAN 2016

Bijna helft consumenten wantrouwig over veiligheid gegevens

Bijna de helft (48 procent) van alle consumenten is wantrouwig over de manier waarop bedrijven omgaan met hun gegevens. Dat blijkt uit onderzoek dat Verint uitvoerde in samenwerking met analyse- en consultancybureau Ovum en het Britse onderzoeksbureau Opinium onder meer dan 18.000 consumenten in negen verschillende landen, waaronder Nederland. Verder blijkt uit het onderzoek dat een op de vijf consumenten geen enkel bedrijf vertrouwt om zijn informatie veilig op te slaan. Uit de onderzoekresultaten komt naa

NEDERLAND 30 DEC 2015

De meldplicht datalekken staat nog niet op de rails

Het CBP waarschuwt voor problemen bij de invoering van de meldplicht datalekken, op 1 januari. Voorzitter Jacob Kohnstamm stelt in NRC Handelsblad dat zijn organisatie eigenlijk vijf keer zo groot zou moeten zijn om alle taken goed uit te voeren. Het bedrijfsleven waarschuwt voor problemen, want hoe die meldplicht er in de praktijk uit gaat zien, is nog onduidelijk. Terwijl de praktijk nog moet worden gevestigd, is nu al duidelijk dat de wetgeving weer op de schop gaat voor de invoering van de nieuwe Europe

NEDERLAND 30 DEC 2015

CBP waarschuwt voor tekort aan mankracht

De Autoriteit Persoonsgegevens krijgt er op 1 januari taken en bevoegdheden bij, maar geen budget om die uit te voeren. Collegevoorzitter Jacob Kohnstamm van de toezichthouder zegt in NRC dat de huidige omvang van bijna 80 mensen niet genoeg is om die nieuwe taken aan te kunnen. Vanaf 1 januari geldt de meldplicht voor datalekken. Nieuw is ook het feit dat de toezichthouder boetes kan uitdelen; tot dusver was een voorwaardelijke dwangsom de zwaarste maatregel. Dat betekent dat er meer juridisch werk aankomt

NEDERLAND 21 DEC 2015

DDMA adviseert leden over omgaan met meldplicht

De DDMA (Data Driven Marketing Association) heeft voor haar leden een handreiking opgesteld voor de meldplicht datalekken, die op 1 januari gaat gelden. Vanaf dat moment moeten Nederlandse bedrijven – onder voorwaarden –een datalek en/of aantasting van databases melden bij de autoriteiten. In sommige situaties wordt het ook noodzakelijk om consumenten op de hoogte te stellen. Uit een peiling van DDMA blijkt dat bijna driekwart van de marketeers wel bekend is met de meldplicht, maar slechts de helft heeft vo

NEDERLAND 18 DEC 2015

DHPA biedt nieuwe overeenkomst voor hosters

De Dutch Hosting Provider Association (DHPA) meldt dat het naar aanleiding van de nieuwe meldplicht datalekken een nieuwe standaard bewerkersovereenkomst biedt voor hosters. De nieuwe regels zijn vanaf 1 januari 2016 van kracht. De overeenkomst is in samenwerking met DHPA-partner ICTRecht tot stand gekomen. Het doel ervan is om hosting providers in staat te stellen duidelijke afspraken te maken met klanten over verantwoordelijkheden rond het verwerken van persoonsgegevens. 

NEDERLAND 10 DEC 2015

Nederland ICT wil coulance bij meldplicht datalekken

Nederland ICT meldt dat het nog bezig is om de beleidsregels voor datalekken te bestuderen. Vanaf 1 januari krijgt de Autoriteit Persoonsgegevens (de nieuwe naam van het CBP) het toezicht op de wettelijke meldplicht voor datalekken. Op 9 december zijn de beleidsregels gepubliceerd. De brancheorganisatie noemt drie weken veel te krap en dringt aan op coulance. Nederland ICT heeft eerder dit jaar gereageerd op de voorlopige regels, voordat die definitief werden. De beleidsregels moeten de situatie voor bedrij

WERELD 10 DEC 2015

Gemalto: datalekken slecht voor loyaliteit klant

Datalekken vormen een afbreukrisico voor bedrijven, stelt Gemalto in een rapport. Bijna twee derde (64%) van de consumenten zegt nooit meer iets te willen bestellen bij een bedrijf waar financiële gegevens zijn gestolen. 49 procent zegt datzelfde als er persoonlijke gegevens op straat zijn komen te liggen. Er zijn 5.750 mensen ondervraagd in Australië, Brazilië, Duitsland, Frankrijk, Japan, het VK en de VS. Een kwart van de ondervraagden denkt dat bedrijven afdoende maatregelen hebben genomen om gegevens te

NEDERLAND 9 DEC 2015

Dutch privacy regulator sets data breach reporting rules

The Dutch privacy regulator CBP has published the final rules for reporting data breaches. All businesses and organisations subject to the Law on protecting personal information will be required from the start of 2016 to report any serious breaches of private data they hold. The seriousness of the breach will be determined in part by the type of data. The rules are an update of the initial guidelines published by the CBP in early 2013. They determine when a breach should be reported, based on several trigge

NEDERLAND 21 SEP 2015

CBP polst markt over meldplicht datalekken

Het CBP heeft beleid ontwikkeld voor het toezicht op de meldplicht datalekken. Deze concept-richtsnoeren worden vier weken lang publiek geconsulteerd. De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Het CBP zal daarbij een invulling geven aan de omschrijving in de wet, "aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen voor de bescherming van persoo

NEDERLAND 10 JUL 2015

Meldplicht datalekken per 1 januari 2016 van kracht

De meldplicht datalekken en uitbreiding boetebevoegdheid Cbp (College bescherming persoonsgegevens) gaat met ingang van 1 januari 2016 in, zo meldt de overheid. De wetswijziging werd in februari aangenomen door de Tweede Kamer en in mei door de Eerste Kamer. Een datalek moet vanaf die datum bij het Cbp gemeld worden wanneer er sprake is van een inbreuk op de beveiliging en deze leidt tot een aanzienlijke kans op ernstige, nadelige gevolgen voor de bescherming van persoonsgegevens. Ook geldt een meldplicht a

Commentaar

14:35

Open Dutch Fiber met nieuw bestuur klaar voor nieuwe fase, maar is het voldoende?

08:43

Videomarkt komt tot rust en zal een groeivertraging laten zien

16:01

Paramount lijkt zijn bod op Warner Bros Discovery nog voor Kerst te verhogen maar of Netflix volgt, is onduidelijk - en er is een Plan B mogelijk

16:21

Netflix koopt Warner Bros uit gebrek aan een diepe catalogus

Achtergrond

14:23

Netflix met afstand grootste streamer, ook in Q3 2025

08:45

TP:Talks - NIBC Bank verschuift investeringsfocus naar datacenters

05:50

Afgelopen week in telecom: Wi-Fi-uitbreidingen zorgen voor groei, videomarkt op weg naar consolidatie

08:45

TP:Talks - Cellnex verstevigt positie in Nederlandse markt voor zendmasten en datacenters

Aanvullen profiel

Alvorens de whitepaper te downloaden willen we vragen je profiel aan te vullen met bedrijf en functie. Na bevestigen ontvang je de whitepaper.