Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens telt als een datalek, dus niet alleen de grootschalige inbraak.

Wist u dat bijvoorbeeld een e-mail verzenden om een adreswijziging door te geven en u zet uw contactpersonen in de CC dit een datalek is?  Gebruik hiervoor een mailinglijst of het BBC veld.

Wat is een datalek?

De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. Kortom: een vrij brede definitie. Van een datalek is dus niet alleen sprake bij een hacker die toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld), telt al als datalek. 

Wat zijn de gevolgen van de wet?

De wet kent vanaf 1 januari 2016 de mogelijkheid om boetes op te leggen wanneer niet voldaan wordt aan de wet. Deze boete kan onder meer opgelegd worden voor:

  • het niet melden van een datalek terwijl dat wel moet;
  • het niet op orde hebben van de beveiliging;
  • het verwerken van persoonsgegevens zonder toestemming;
  • export van persoonsgegevens naar landen buiten de EU zonder dat goed geregeld te hebben.


De boete kan oplopen tot € 810.000,- of 10% van de jaaromzet. Vaak zal er eerst een waarschuwing volgen, maar de toezichthouder mag besluiten direct een boete op te leggen als u opzettelijk of grof nalatig heeft gehandeld.

Lees meer op: https://www.bit.nl/news/728/293/Impact-van-de-meldplicht-datalekken