Meldplicht datalekken

Op 1 januari 2016 is de meldplicht datalekken in werking getreden. Overheidsinstellingen en bedrijven zijn sindsdien verplicht om ernstige datalekken binnen 3 dagen te melden aan de Autoriteit Persoonsgegevens. Ook is het in bepaalde gevallen verplicht om betrokkenen (klanten, medewerkers) te informeren. Met deze meldplicht wil de overheid de gevolgen van datalekken voor de betrokkenen zo veel mogelijk beperken en een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

In de eerste maanden van 2016 heeft UWV de benodigde stappen gezet om invulling te geven aan de meldplicht. Sinds 1 januari 2016 kent UWV een centraal meldpunt en sinds begin april ook een interne werkinstructie. We maken afspraken met leveranciers die gegevens voor UWV bewerken. Voor medewerkers zijn 10 gouden regels opgesteld om datalekken te voorkomen, verder is gecommuniceerd hoe ze mogelijke datalekken kunnen melden.

UWV heeft in 2016 in 17 situaties melding van een datalek gedaan aan de Autoriteit Persoonsgegevens en aan betrokkenen. De meldingen waren aanleiding om de richtlijnen voor grootschalige verzending van mail en bestanden aan klanten en de behandeling van foutief geadresseerde post(stukken) aan te passen.