Decos en de meldplicht Datalekken

Nieuws - 25 januari 2016. Op 1 januari is de Wet bescherming persoonsgegevens gewijzigd en is de Meldplicht Datalekken van kracht geworden. Kort samengevat houdt die plicht in dat u een melding moet doen aan de Autoriteit Persoonsgegevens (voorheen het CBP) als er een ernstig lek van persoonsgegevens heeft plaatsgevonden. Zo’n lek kan ernstig zijn als het om veel persoonsgegevens gaat, maar ook als het om gevoelige gegevens van slechts één persoon gaat. De Autoriteit Persoonsgegevens heeft een richtlijn opgesteld met de regels die gelden voor de meldplicht.

 

Als u persoonsgegevens laat beheren door een andere partij (een ‘bewerker’), dan dient u een contract aan te gaan waarin u de bewerker verplicht een datalek te melden – zodat u zelf de melding kunt doen aan de Autoriteit Persoonsgegevens. Dit contract wordt een bewerkersovereenkomst genoemd en die zult u dus aangaan met partijen waar u uw persoonsgegevens onderbrengt. Typische voorbeelden van bewerkers zijn salarisadministrateurs, externe personeelsadministraties en leveranciers van clouddiensten.

 

Of u met Decos een bewerkersovereenkomst aan moet gaan is afhankelijk van de producten en diensten die u van ons afneemt. Eenvoudig gezegd is het criterium dat als Decos de beschikking heeft over uw collectie persoonsgegevens, een bewerkersovereenkomst nodig is. Kortom: als wij het beheer van de persoonsgegevens uitvoeren. Dat is het geval als u onze producten afneemt als cloudtoepassing. Indien u echter werkt met een lokale installatie van de JOIN producten, bent u zelf verantwoordelijk voor het ICT- en applicatiebeheer en dus ook voor het detecteren en melden van datalekken. Bij een lokale installatie is Decos geen ‘bewerker’ in de zin van de Wet: wij kunnen dan niet bij de gegevens en beheren niet de beveiligingsmaatregelen voor uw ICT.

 

U bent als organisatie verantwoordelijk voor het beheer van uw persoonsgegevens en dus ook voor het opstellen en aangaan van bewerkersovereenkomsten met uw dienstverleners en leveranciers. U kunt daarvoor de modeltekst van de IBD gebruiken. Het initiatief voor deze overeenkomst ligt wettelijk bij u, omdat u eindverantwoordelijk bent en u dus ook bepaalt hoe u die verantwoordelijkheid wilt invullen met uw leveranciers. Waar nodig helpen wij u graag en ook bij twijfel gaan wij graag met u in gesprek.

 

Decos gaat uiteraard een bewerkersovereenkomst met u aan als dat nodig is om aan uw meldplicht te voldoen. Als u meer wilt weten over deze meldplicht of over de rol van Decos daarin dan kunt u altijd contact opnemen via info@decos.com.