Eerder berichtten wij al uitgebreid over de meldplicht datalekken en de instelling van een verdergaande boetebevoegdheid voor het College Bescherming Persoonsgegevens . Inmiddels is er ook een datum bekend waarop de wet waar deze wijzigingen in opgenomen zijn, van kracht worden: 1 januari 2016. Per die datum is het op grond van artikel 34a Wet bescherming persoonsgegeven verplicht een inbreuk op de beveiliging te melden bij het CBP, wanneer die inbreuk leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegeven, of ernstige gevolgen heeft voor de bescherming van persoonsgegevens. Wanneer de beveiligingsinbreuk daarnaast ‘waarschijnlijk ongunstige gevolgen’ heeft voor de persoonlijke levenssfeer van de betrokkene, moet ook de betrokkene geïnformeerd worden.
Praktisch gezien moet de melding aan het CBP ten minste de volgende informatie omvatten:
· De aard van de inbreuk;
· De instanties waar meer informatie ingewonnen kan worden over de inbreuk;
· De aanbevolen maatregelen om de negatieve gevolgen te beperken;
· Een beschrijving van de geconstateerde en vermoedelijke gevolgen; en
· Een beschrijving van de genomen of te nemen maatregelen om de gevolgen zoveel mogelijk te verhelpen.
Zijn de buitgemaakte persoonsgegevens voldoende versleuteld, dan is een melding aan de betrokkene niet vereist.
