BLOG

Geldt de meldplicht datalekken ook voor bewerkers?

February 19, 2019

Met enige regelmaat ontvangen wij vragen over de aankomende meldplicht datalekken die per 1 januari 2016 in werking treedt. Door deze wijziging van de Wet bescherming persoonsgegevens zijn organisaties met ingang van het nieuwe jaar verplicht om datalekken te melden bij de toezichthouder en in sommige gevallen ook bij de betrokkenen.
 

Eén van die vragen heeft betrekking op de bewerkersrol:

Moet ik als bewerker een datalek ook melden bij de toezichthouder?

Een bewerker is de partij die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt. Zo is een postbezorger bijvoorbeeld een bewerker voor een webwinkel en kan een softwaredeveloper bewerker voor zijn opdrachtgever zijn.

Het antwoord op de vraag is terug te vinden in de Wbp. Het nieuwe artikel 34a duidelijk immers:

De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging […]


En:

De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk […]

De verplichting ligt dus duidelijk bij de verantwoordelijke. Vindt er bij de bewerker een datalek plaats, dan heeft de bewerker geen wettelijke meldplicht. Uiteraard moet er dan wel uitsluitend sprake zijn van een datalek met persoonsgegevens die in de rol van bewerker worden verwerkt. Gaat het om zijn ‘eigen’ persoonsgegevens, dan dient hij dit wel zelf te melden.
 

Wanneer hier met de verantwoordelijke geen heldere afspraken zijn gemaakt, kan dit vervelende gevolgen hebben voor de verantwoordelijke. ‘Zijn’ persoonsgegevens zijn gelekt, dus hij moet dat melden. Maar als de bewerker dit niet mededeelt komt hij er niet achter dat er een datalek heeft plaatsgevonden en kan het achterwege blijven van de melding een boete van de toezichthouder tot gevolg hebben.
 

Maak als verantwoordelijke daarom altijd heldere afspraken met de bewerker (bewerkersovereenkomst) waarin concrete afspraken over het melden van de datalekken vastgelegd worden. OP READYGDPR.COM KUNT U SNEL EN GEMAKKELIJK EEN BEWERKERSOVEREENKOMST OF EEN DATALEKKENREGISTER BESTELLEN.

 

Bron: ICT Recht

Share on Facebook
Share on Twitter
Please reload

  • LinkedIn Link
  • Twitter Link

READYGDPR is een site van de  Ready Support Group 

Ready Support Group B.V.  |  KvK 71035095

Oude Enghweg 2

1217 JC  Hilversum

+31 35 713 09 70

 
BTW NL8585.54.707.B01  |  IBAN NL44BUNQ2206070952

copyrights 2019 Ready Support Group

Let op: dit formulier dient niet voor inschrijvingen in onze webinars. Die kunt u alleen hier boeken.