U bent hier

OR & Medezeggenschap
Meldplicht voor datalek van persoonsgegevens
Voor OR & Medezeggenschap

Meldplicht voor datalek van persoonsgegevens

23 februari 2015

Het is binnenkort verplicht om melding te maken van een datalek waarbij privacygevoelige informatie is gelekt. De verantwoordelijke voor het beheer van het informatie- of registratiesysteem moet de melding doen bij de toezichthouder, het College bescherming persoonsgegevens (CBP) en alle betrokkenen van wie gegevens zijn gelekt.

De Tweede Kamer is onlangs akkoord gegaan met een voorstel voor wijziging van de Wet bescherming persoonsgegevens (WBP). Als ook de Eerste Kamer akkoord gaat met het wetsvoorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, melding doen bij het CBP en alle betrokkenen. De nieuwe wet heeft een breed toepassingsgebied: het kan gaan om klantgegevens van webwinkels, ziekmeldingsdossiers van arbodiensten, om persoonsgegevens van werknemers uit uw organisatie en noem maar op.

Bestuurlijke boete als meldplicht niet wordt nageleefd

De meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Dat betekent dat uw werkgever deze meldplicht ook heeft. De kans is groot dat er voor uw stichting of onderneming verschillende databases bestaan met privacygevoelige informatie. Denk maar aan het personeelsregistratiesysteem of een klantenrelatiebestand. Als er geen melding wordt gemaakt van een datalek kan het CBP uw organisatie een bestuurlijk boete opleggen van maximaal € 810.000.

Rol van de ondernemingsraad bij bewaken van de privacy

De OR heeft een grote rol als het gaat om de privacy van werknemers (waarvan gegevens van het personeel een belangrijk onderdeel uitmaken). Zo heeft uw OR instemmingsrecht op elke nieuwe of te wijzigen bedrijfsregeling met betrekking tot het verwerken én beveiligen van persoonsgegevens. Dit wettelijk recht van de OR vindt u terug in artikel 27 lid 1k van de Wet op de ondernemingsraden. In 2013 bracht het CBP de richtlijn ‘Richtsnoeren beveiliging persoonsgegevens (pdf) uit. Neem deze richtlijn voor de beveiliging van persoonsgegevens van werknemers mee in het gesprek met uw bestuurder over dit onderwerp.