Rechtenmedia.nl - Juridische Online Uitgeverij  Rechtennieuws.nl | Jure.nl | Maxius.nl | Parlis.nl | Rechtenforum.nl | Vacatures | MijnWetten.nl | AdvocatenZoeken.nl | Rechtentotaal.nl
» Energiewijzer « advertorial
Bespaar geld en stap over!
Energiewijzer.nl, eerlijk over energie.

Juridische vacatures

Meer vacatures | Plaats vacature

Powered by Jbmatch.nl

Inhoudsopgave
1. Is de meldplicht datalekken uit de Wbp op mij van toepassing?
1.1. Is er sprake van verwerking van persoonsgegevens?
1.2. Ben ik de verantwoordelijke voor de verwerking of diens vertegenwoordiger?
1.3. Is de Wbp van toepassing op de verwerking?
2. Wat moet ik regelen als ik persoonsgegevens laat verwerken door een bewerker?
2.1. Waarom is het belangrijk om dit goed te regelen?
2.2. Waarover moet ik afspraken maken met de bewerker?
2.3. Hoe moet ik de afspraken vastleggen die ik met de bewerker maak?
2.4. Wat als ik gebruik maak van een bewerker in het buitenland?
3. Is dit een datalek?
3.1. Is er sprake van een inbreuk op de beveiliging?
3.2. Zijn bij de inbreuk persoonsgegevens verloren gegaan?
3.3. Kan ik redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt?
4. Moet ik dit datalek melden aan de Autoriteit Persoonsgegevens?
4.1. Valt het datalek (gedeeltelijk) onder de meldplicht datalekken uit de Tw ?
4.2. Is er sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens?
4.2.1. Zijn er persoonsgegevens van gevoelige aard gelekt?
4.2.2. Leiden de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen?
5. Hoe moet ik het datalek melden aan de Autoriteit Persoonsgegevens?
6. Wanneer moet ik het datalek melden aan de Autoriteit Persoonsgegevens?
7. Moet ik het datalek melden aan de betrokkene?
7.1. Ben ik een financiële onderneming zoals bedoeld in de Wet op het financieel toezicht ?
7.2. Biedt de cryptografie die ik heb toegepast voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten?
7.2.1. Zijn de persoonsgegevens blootgesteld aan vernietiging of aantasting?
7.2.2. Waren de persoonsgegevens versleuteld op het moment dat de inbreuk plaatsvond?
7.2.3. Is de versleuteling adequaat?
7.2.4. Is het restrisico acceptabel?
7.3. Bieden de andere technische beschermingsmaatregelen die ik heb toegepast voldoende bescherming om de melding aan de betrokkene achterwege te kunnen laten?
7.4. Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene?
7.5. Zijn er zwaarwegende redenen om de melding aan de betrokkene achterwege te laten?
8. Hoe moet ik het datalek melden aan de betrokkene?
9. Wanneer moet ik het datalek melden aan de betrokkene?
10. Welke gegevens moet ik vastleggen over dit datalek?
11. Wat doet de Autoriteit Persoonsgegevens met mijn melding?
11.1. Administratieve afhandeling
11.2. Inhoudelijke afhandeling
11.3. Register van ontvangen datalekmeldingen
11.4. Handhaving
Juridisch advies nodig?
Heeft u een juridisch probleem of een zaak die u wilt voorleggen aan een gespecialiseerde jurist of advocaat ?
Neemt u dan gerust contact met ons op en laat uw zaak vrijblijvend beoordelen.

Stel uw vraag
Geschiedenis

Geschiedenis-overzicht

Artikel 7.4 6 Meldplicht datalekken Wet bescherming persoonsgegevens

Bwb-id:
Officiele titel:
Citeertitel:
Soort regeling:
Wetsfamilies:
Eerst verantwoordelijk ministerie:

Geldigheidsdatum:
Ingangsdatum:
7.4. Zal het datalek waarschijnlijk ongunstige gevolgen hebben voor de persoonlijke levenssfeer van de betrokkene?
Het datalek moet aan de betrokkene worden gemeld indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer ( artikel 34a, tweede lid, Wbp).
Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik van persoonsgegevens in hun belangen worden geschaad. De schade kan van materiële of van immateriële aard zijn. Bij dit laatste moet u bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede naam, identiteitsfraude of discriminatie. 38 Identiteitsfraude kan overigens niet alleen leiden tot immateriële gevolgen, maar ook tot materiële gevolgen.
Het is aan u om te beoordelen of u een datalek aan de betrokkene moet melden.
Indien er persoonsgegevens van gevoelige aard zijn gelekt, dan moet u er van uitgaan dat u het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene. Verlies of onrechtmatige verwerking van dergelijke gegevens kunnen onder meer leiden tot stigmatisering of uitsluiting van de betrokkene, tot schade aan de gezondheid, financiële schade of (identiteits)fraude. Meer informatie treft u aan in paragraaf 4.2.1 van deze beleidsregels.
In alle overige gevallen zult u op basis van de omstandigheden van het geval een afweging moeten maken.
Het informeren van de betrokkene over een opgetreden datalek is met name noodzakelijk in situaties waarin er voor hem of haar daadwerkelijk ongunstige gevolgen voor de persoonlijke levenssfeer te duchten zijn. Door de kennisgeving is de betrokkene alert op de mogelijke gevolgen van het datalek en kan hij of zij zich, voor zover dat mogelijk is, daartegen wapenen door bijvoorbeeld extra voorzorgsmaatregelen te treffen (zoals vervanging van een wachtwoord) of door diensten of producten van een andere marktpartij af te nemen. 39
Voorbeelden van datalekken die moeten worden gemeld aan de betrokkene 40
6. Op de website van een telefoonbedrijf kunnen klanten inloggen en hun financiële gegevens en belgegevens inzien. Een derde partij heeft toegang gekregen tot de database met inlognamen en bijbehorende hashwaarden van wachtwoorden. Bij het hashen van de wachtwoorden is gebruik gemaakt van een verouderd algoritme dat onvoldoende bescherming biedt tegen kennisname door onbevoegden. Gevolg is dat een derde partij de oorspronkelijke wachtwoorden zonder al te veel moeite zal kunnen achterhalen.
[Dit voorbeeld heeft betrekking op de telecomsector, en valt dus niet onder de meldplicht datalekken uit de Wbp. De overwegingen bij het informeren van de betrokkenen kunnen echter ook buiten de telecomsector worden toegepast.] De derde partij kan de wachtwoorden van alle abonnees achterhalen. Hij beschikt ook over de inlognamen, en kan zich daardoor toegang verschaffen tot alle accounts. Veel mensen gebruiken voor het inloggen op meerdere websites dezelfde combinatie van inlognaam en wachtwoord. Dit betekent dat de derde zich met de buitgemaakte gegevens mogelijk ook toegang kan verschaffen tot andere accounts van sommige betrokkenen, waaronder mogelijk ook e-mailaccounts. Dit datalek heeft waarschijnlijk negatieve gevolgen voor de betrokkenen, en kennisgeving is vereist. De klanten moeten op de hoogte worden gesteld van het datalek, met daarbij het dringende advies om voor alle accounts waar ze hetzelfde wachtwoord gebruiken, dit wachtwoord aan te passen. Ze moeten bij het inloggen op de website in kwestie ook worden gedwongen om hun wachtwoord voor de kwestie aan te passen. Daarbij moet worden gezorgd dat de nieuwe wachtwoorden worden aangemaakt door legitieme gebruikers, en niet door derden die de inloggegevens hebben bemachtigd.