Zeer veel organisaties gebruiken persoonsgegevens en wisselen deze uit. Iedereen die met persoonsgegevens omgaat, is verantwoordelijk voor de geheimhouding en veiligheid daarvan. Het wordt echter al iets ingewikkelder als je andere bedrijven om laat gaan met deze persoonsgegevens. Denk daarbij aan softwareleveranciers waarmee u de gegevens van uw leden uitwisselt, de horeca waarmee u gegevens uitwisselt over uw leden, het versturen van een nieuwsbrief, etc. Degene die de gegevens heeft verzameld voor een bepaald doel waarvoor hij toestemming heeft gekregen (zoals een sportvereniging) is verantwoordelijk, maar ook degene die met de persoonsgegevens aan de slag gaat heeft een bepaalde verantwoordelijkheid (de ‘bewerker’). De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de Wet bescherming persoonsgegevens.
Meldplicht datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wbp). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
In de publicatie die u hier kunt downloaden, een gezamenlijk initiatief van de NGF en NVG, treft u meer informatie aan.