De Wet Meldplicht Datalekken is op 19 juni 2015 in het Staatsblad gepubliceerd, een aanpassing op de Wet Bescherming Persoonsgegevens (WBP). De wet treedt in zijn geheel in werking op 1 januari 2016. Dit heeft de nodige gevolgen voor eerstelijns zorgaanbieders.
Door de Wet Bescherming Persoonsgegevens (WBP) is een eerstelijns zorgaanbieder een verwerker van persoonsgegevens, omdat deze een database met patiëntgegevens, waaronder de woonplaats en het Burgerservice nummer van patiënten bijhoudt. Verwerkers van persoonsgegevens zijn verplicht om passende organisatorische- en beveiligingsmaatregelen te nemen om verlies of onrechtmatig gebruik van gegevens te voorkomen. De Wet Meldplicht Datalekken die met ingang van 2016 van kracht wordt, borduurt hier op voort.
Een inbreuk op de beveiliging van de persoonsgegevens, en de kans dat daardoor nadelige gevolgen ontstaan voor de bescherming daarvan, dient onverwijld aan het College Bescherming Persoonsgegevens (na de inwerkingtreding van de Wet Meldplicht Datalekken wijzigt de naam in Autoriteit Persoons gegevens) gemeld te worden. Ook moet dit worden gemeld aan de persoon wiens persoonsgegevens het betreft.
Er zijn drie cumulatieve voorwaarden voor het onverwijld melden van het datalek aan de Autoriteit Persoonsgegevens:
1 Er is sprake van een inbreuk op de beveiliging.
2 De inbreuk doet zich voor bij een organisatie in de private of publieke sector.
3 De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van de persoonsgegevens die door de organisatie worden verwerkt.
De inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging tekort is geschoten. Het kan bijvoorbeeld ook het resultaat zijn van het hacken van het systeem van de verwerker. Onder tekortschietende beveiliging valt niet slechts het niet hebben van een toereikende firewall tegen hackers, maar ook bijvoorbeeld het aanbieden van papieren dossiers met patiëntgegevens als oud papier, of het kwijtraken van een usb-stick met de betreffende informatie!
Inbreuk op beveiliging van persoonsgegevens onverwijld melden
Inbreuk op beveiliging van persoonsgegevens onverwijld melden Eldermans|Geerts Advocaten over de Wet Meldplicht Datalekken.
