Sinds 1 januari 2016 zijn ondernemingen en instellingen verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens, voorheen College Bescherming Persoonsgegevens (CBP). Of een datalek gemeld moet worden is afhankelijk van de (potentiële) impact van het datalek op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.
Als er alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. In geval van beveiligingslek hoeft geen melding gedaan te worden aan de Autoriteit Persoonsgegevens.
Privacy shield
Vorig jaar heeft de Europese rechter de Safe Harbor beschikking ongeldig heeft verklaard. De Safe Harbor-beschikking was bedoeld om een passend beschermingsniveau te waarborgen van datadoorgifte van persoonsgegevens tussen de EU en de VS. Op 2 februari 2016 hebben de EU en de VS na een lange onderhandeling een ‘akkoord’, genaamd de ‘Privacy Shield’, bereikt over de opslag van privégegevens van Europeanen op Amerikaanse servers. Wel is door de Europese Commissie aangegeven, dat de exacte juridische inhoud van het akkoord de komende weken nog nader wordt ingevuld. De inhoud moet tevens nog goed gekeurd worden door de Europese lidstaten. Vervolgens is uiteraard de vraag wat uiteindelijk de Europese rechter zal vinden van deze opvolger van de Safe Harbor-beschikking? Eén van de bezwaren op de eerdere Safe Harbor-beschikking van de Europese rechter betreffende het feit, dat Europese burgers de VS niet kunnen aanspreken vanwege misbruik van hun data, lijkt niet zijn opgelost in de nieuwe deal.
Onderzoeksbureau GBNED heeft aan De IT-Jurist gevraagd een en ander op een rij te zetten. Dit rapport is nu gereed en is opgebouwd uit de volgende onderdelen:
- Inleiding; ingegaan wordt op de definitie ‘datalek’ en begripsvorming rondom Meldplicht datalekken.
- Persoonsgegevens; in het kader van alle berichtgeving op het gebied van de nieuwe meldplicht datalekken, komen er bij ons veel vragen binnen met betrekking tot privacy. Daarbij krijgen wij ook nog hele basale vragen binnen over wat nou precies persoonsgegevens zijn en wanneer er sprake is van verwerking van persoonsgegevens. Beide begrippen worden nader toegelicht.
- De Wet Bescherming Persoonsgegevens, een introductie; algemene introductie op de bepalingen van de Wet bescherming persoonsgegevens (Wbp). Deze wet is een implementatie van de Europese richtlijn 95/46/EG. Het doel dat de Europese wetgever met deze richtlijn nastreeft is het creëren van een degelijke en uniforme bescherming van persoonsgegevens. Allereerst wordt onderzocht wat precies onder het persoonsgegevensbegrip moet worden verstaan. Ook de betekenis van de term verwerken wordt besproken. Vervolgens wordt ingegaan op de belangrijkste actoren die bij het verwerkingsproces betrokken zijn. Daarna wordt uiteengezet op basis van welke grondslagen persoonsgegevens verwerkt mogen worden en met welke plichten daarbij rekening moet worden gehouden.
- Bewerkersovereenkomst; in artikel 14 lid 2 van de Wet bescherming persoonsgegevens is bepaald dat de uitvoeringen van de verwerkingen door een bewerker moeten worden geregeld in een overeenkomst of een andere rechtshandeling. Behandeld wordt wat er allemaal in een bewerkersovereenkomst geregeld moet worden.
- Beslisboom Datalekken; laat op hoofdlijnen zien hoe de meldplicht datalekken werkt.
- Safe Harbor/Privacy Shield; gaat in op het ongeldig verklaren van de Safe Harbor door Het Europese Hof en het nieuwe Privacy Shield akkoord.
Het rapport is gratis beschikbaar en op te vragen via deze link
Meer over dit onderwerp in Accountancy Vanmorgen
Geef een reactie