Meldplicht ernstig datalek
Als salarisadministrateur heeft u sinds 1 januari 2016 meldplicht om direct een melding te verzorgen bij de Autoriteit Persoonsgegevens wanneer er sprake is van een ernstig datalek. U dient alleen een melding te doen wanneer het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Aangezien er op de salarisadministratie met gegevens van gevoelige aard wordt gewerkt, zult u altijd een melding moeten doen.
Bij persoonsgegevens van gevoelige aard moet u denken aan:
- Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp (het gaat hierbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag);
- Gegevens over de financiële of economische situatie van de betrokkene (hieronder vallen bijvoorbeeld gegevens over (problematische)schulden, salaris- en betalingsgegevens).
- Gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school/werk of relatieproblemen);
- Gebruikersnamen, wachtwoorden en andere inloggegevens (mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Hierbij moet rekening gehouden worden met dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen);
- Gegevens die kunnen worden misbruikt voor (identiteit-)fraude (het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het Burgerservicenummer (BSN).
Datum: 5 september 2017