Wat houdt de meldplicht datalekken in?

Door: Gerben Bloemendal
15 oktober 2021

Gebruik je een contactformulier op je website? Op 1 januari 2016 gaat de meldplicht datalekken in. Deze meldplicht houdt in dat wanneer er persoonsgegevens gelekt zijn er een melding gedaan moet worden bij het College bescherming persoonsgegevens (Cbp). Ook moeten de betrokkenen personen van wie de persoonsgegevens zijn gelekt zijn geïnformeerd worden.

Bijna iedere website verwerkt tegenwoordig persoonsgegevens van bezoekers. Bijvoorbeeld via het contactformulier, een bestelling in een webshop of door gebruikers te laten inloggen. Persoonlijke data wordt bovendien vaak opgeslagen in een database.

Onder 'lekken' wordt verstaan dat er een inbreuk is op de beveiliging van persoonsgegevens zoals beschreven in de wet Bescherming Persoonsgegevens (Wbp). Dit kan bijvoorbeeld gebeuren doordat een website 'gehackt' wordt of besmet met malware. Maar ook een gestolen laptop, een verloren USB-stick en het verzenden van een e-mail met daarin zichtbaar alle mailadressen van de geadresseerden valt onder dit ‘lekken’.

Wanneer geldt de meldplicht?

De meldplicht geldt alleen als een datalek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Wanneer bijvoorbeeld de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden door een goede encryptie hoeft er geen melding gedaan te worden.

Wat moet ik doen in het geval van een datalek?

In het geval van een datalek moeten alle betrokken personen geïnformeerd worden. Gebruikers moeten bijvoorbeeld in de gelegenheid gesteld worden het wachtwoord van een hun account aan te passen.

Het College bescherming persoonsgegevens (Cbp) zorgt per 1 januari 2016 voor het toezicht op de uitvoering van deze wet. Het Cbp kan eventueel boetes opleggen wanneer een datalek niet gemeld is of wanneer de beveiliging op zichzelf niet in orde is.

Wat kan ik nu al doen?

Verreweg de meest voorkomende oorzaak van gehackte websites komt door verouderde software. Daarnaast is het van belang je website continu te monitoren preventief te scannen op malware.

Ook een SSL-certificaat (‘https’) is eigenlijk een ‘must’: het beveiligt de verbinding van je website bij het verzenden van gegevens via een contactformulier.

En de belangrijkste tip: zorg voor een goede webbouwer die bovenstaande materie snapt en je site up-to-date houdt.

Op de website van het College bescherming persoonsgegevens vind je het document ‘Richtsnoeren meldplicht datalekken’. Hier worden verschillende scenario’s verder toegelicht.