Tag: datalek

De tien grootste misverstanden over de AVG

U hebt waarschijnlijk inmiddels wel gehoord van die nieuwe privacywet die sinds 25 mei van kracht is. Maar is alles wat u hoort of leest ook waar? De 10 grootste misverstanden en fake news op een rijtje:

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker. Lees verder

To notify or not to notify: Wanneer moet een datalek gemeld worden aan de Autoriteit Persoonsgegevens?

Met ingang van de nieuwe privacywet de Algemene Verordening Gegevensbescherming (hierna AVG) komt er heel veel op organisaties af. De AVG bevat nieuwe eisen en een aantal aangescherpte eisen omtrent de verwerking van persoonsgegevens. Eén van die eisen is de meldplicht datalekken[1]. Organisaties die een datalek hebben die persoonsgegevens bevat, moeten deze melden bij het meldloket van de Autoriteit Persoonsgegevens (hierna AP) en soms ook aan de betrokkenen van wie de persoonsgegevens zijn gelekt. Het doel van de meldingsplicht is o.a. de algemene verhoging van het beveiligingsniveau van informatiedragers, verhoging van de interne bewustwording bij organisaties en het zelfredzamer maken van mensen door hen in staat te stellen om maatregelen te kunnen nemen om de negatieve impact van een datalek te beperken. In deze blog zal ik inzoomen op de te treffen maatregelen voor, tijdens en na een datalek.

Lees verder

Hoe gaat het CBP zijn boetebevoegdheden invullen?

Vanaf 1 januari 2016 geldt de meldplicht datalekken en krijgt het College Bescherming Persoonsgegevens (CBP) uitgebreidere boetebevoegdheden. Eind oktober maakte het CBP bekend hoe het die nieuwe bevoegdheden wil toepassen. Het CBP publiceerde daarvoor het concept van zijn boetebeleidsregels. Daarin beschrijft het CBP hoe het in grofweg twee stappen tot de uiteindelijke boetesom komt: eerst het vaststellen van het type boete en daarna van een concreet boetebedrag.

In deze blog zetten we deze boetesystematiek uiteen. Vervolgens illustreren we aan de hand van een overtreding van de meldplicht datalekken de consequenties van de boetebeleidsregels en zetten we het een en ander in de praktische context. Tot slot reflecteren we kort wat we op dit moment kunnen verwachten van het boetebeleid dat het CBP in 2016 – onder zijn nieuwe naam Autoriteit Persoonsgegevens – zal hanteren.

Lees verder