datalek persoonsgegevens

Datalek van persoonsgegevens

Met de invoering van de meldplicht datalekken moeten organisaties datalekken van persoonsgegevens in bepaalde gevallen melden aan de Autoriteit Persoonsgegevens. In dit artikel lees je meer over datalekken van persoonsgegevens. Welke gegevens vallen onder persoonsgegevens?

Wat zijn persoonsgegevens?

Persoonsgegevens bestaan uit informatie over geïdentificeerde of identificeerbare personen. Het gaat hierbij altijd om natuurlijke personen, dus niet om informatie over overleden personen of organisaties.

Wat is de Wet bescherming persoonsgegevens?

In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd wat organisaties wel en niet mogen doen met persoonsgegevens van mensen (denk aan medewerkers, klanten en leveranciers). Ook regelt de wet de privacy rechten van mensen wanneer organisaties hun persoonsgegevens gebruiken (verwerken). Zo hebben mensen bijvoorbeeld recht op inzage en correctie van hun gegevens, en mogen ze weten hoe hun gegevens gebruikt worden. Vanaf 25 mei 2018 komt de Wbp te vervallen. Deze Nederlandse wet wordt vervangen door de nieuwe, strengere Europese Algemene verordening gegevensbescherming (AVG).

Lees hier meer over de overgangsperiode van de Wbp naar de AVG.

Lees hier meer over de AVG.

Voorbeelden persoonsgegevens

Alle gegevens die gebruikt kunnen worden om een persoon te identificeren, vallen onder persoonsgegevens.

Voorbeelden:

  • Naam- en adresgegevens
  • IP-adressen
  • Uitslag IQ-test
  • Vingerafdrukken
  • Bankgegevens

Tip: gedetailleerde informatie over de definitie van persoonsgegevens kun je vinden in het Wbp-naslagartikel 1 sub a van de Autoriteit Persoonsgegevens.

Bijzondere persoonsgegevens

Binnen de categorie persoonsgegevens wordt een onderscheid gemaakt tussen ‘gewone’ persoonsgegevens en bijzondere persoonsgegevens. Organisaties mogen in principe geen gebruik maken van bijzondere persoonsgegevens, behalve wanneer er in de wet een uitzondering is.

Voorbeelden bijzondere persoonsgegevens:

  • Ras (dus ook pasfoto’s zijn bijzondere persoonsgegevens)
  • Godsdienst
  • Politieke gezindheid
  • Seksueel leven
  • Lidmaatschap vakbond
  • Burgerservicenummer (BSN)
  • Medische gegevens
  • Strafrechtelijk verleden

Weten wat de Wet bescherming persoonsgegevens precies zegt over bijzondere persoonsgegevens en de uitzonderingen? Lees dan hier artikel 16 uit de Wbp van de Autoriteit Persoonsgegevens.

Persoonsgegevens verwerken

Alle dingen die organisaties doen met persoonsgegevens vallen onder de noemer ‘persoonsgegevens verwerken’. Denk bijvoorbeeld aan het verzamelen, invoeren, vastleggen, bijwerken, opvragen, verstrekken, gebruiken of vernietigen van gegevens. De belangrijkste regel voor het verwerken van persoonsgegevens is dat ze alleen in overeenstemming met de wet mogen worden verwerkt. De organisatie moet er zorgvuldig mee omgaan. Persoonsgegevens mogen alleen verzameld worden als het verzamelen en verwerken een duidelijk doel dient.

Verwerking persoonsgegevens: wie is verantwoordelijk?

Als gegevens verwerkt worden, is degene die verantwoordelijk is de persoon die bepaalt:

  • Hoe de organisatie de persoonsgegevens verwerkt
  • Waarom de organisatie dat doet (het doel)
  • Welke persoonsgegevens verwerkt worden
  • De aard van de verwerking (vernietiging, vastlegging etc.)

De persoon waarvan de gegevens verwerkt worden, noemt men de betrokkene.

Verwerking persoonsgegevens: wie is de verwerker?

De persoon of organisatie die de persoonsgegevens verwerkt, is de verwerker. Dit kan bijvoorbeeld een accountantskantoor zijn. Hoewel de verwerker niet geheel verantwoordelijk is voor het juist verwerken van de persoonsgegevens, dient hij wel zorg te dragen voor een goede beveiliging en geheimhouding van de informatie.

De Autoriteit Persoonsgegevens heeft een handleiding ontwikkeld voor verwerkers van persoonsgegevens. Deze vind je hier.

Persoonsgegevens beschermen

Om een datalek te voorkomen is het belangrijk dat organisaties voldoende aandacht schenken aan het beschermen van persoonsgegevens. Enkele belangrijke regels om persoonsgegevens goed te beschermen in de organisatie:

  • Alleen persoonsgegevens verzamelen en verwerken die toegestaan zijn
  • Alleen persoonsgegevens verzamelen en verwerken die de organisatie echt nodig heeft
  • Beperk de toegang tot persoonsgegevens

Het College Bescherming Persoonsgegevens (CBP) heeft een richtlijn gemaakt voor het beveiligen van persoonsgegevens. Lees de samenvatting hier.

Lees hier meer over datalekken voorkomen.

Informatieplicht

Organisaties zijn verplicht om klanten, medewerkers en leveranciers te melden welke persoonsgegevens verwerkt worden en of de gegevens doorgegeven worden aan derden. Ook is het verplicht om een privacyverklaring op de website van de organisatie te zetten. Dit kun je bijvoorbeeld doen met deze handige Privacyverklaring genarator.

Download het gratis starterspakket Dataveiligheid: Maak jouw organisatie GDPR-ready

Xtandit heeft zich al voorbereid op de invoering van de GDPR. We hebben onze ervaringen, praktische tips en handige templates vanuit dit traject verzameld en gebundeld in het starterspakket Maak jouw organisatie GDPR-ready. Download nu het starterspakket en ga zelf ook aan de slag!

Download het gratis starterspakket