Meldplicht datalekken

Het College Bescherming Persoonsgegevens (CBP) heeft in 2015 beleidsregels meldplicht datalekken gepubliceerd. Per 1 januari 2016 moeten datalekken in sommige gevallen gemeld worden aan de Autoriteit Persoonsgegevens (de nieuwe naam voor het CBP per 1 januari 2016).

Gedeelde verantwoordelijkheid

Volgens de Wet bescherming persoonsgegevens (Wbp) is de 'Verantwoordelijke' een persoon of organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. In het geval van de uitvoering van de NSE zijn dat Studiekeuze123 en de deelnemende instellingen. De instellingen leveren de gegevens van de studenten aan en Studiekeuze123 zorgt ervoor dat de uitvoering goed verloopt. Een gedeelde verantwoordelijkheid.

Zie het meldingenregister van de Autoriteit Persoonsgegevens voor een overzicht van doel en middelen. De NSE is geregistreerd onder meldingsnummer 1573217.

De uitvoering van de NSE is belegd bij de 'Bewerker'. Dat is onderzoeksbureau Ipsos in Amsterdam. Studiekeuze123 heeft met Ipsos een bewerkersovereenkomst afgesloten waarin geregeld wordt hoe Ipsos de uitvoering moet doen. De bewerkersovereenkomst is door deelnemende instellingen op te vragen bij Studiekeuze123.

Wat betekent een datalek?

In de AVG is een voorziening opgenomen voor datalekken. Bij een datalek gaat het om toegang tot of het vernietigen, wijzigen of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Het gaat dus niet alleen om het vrijkomen (lekken) van gegevens, maar ook het onrechtmatig verwerken ervan.

Studiekeuze123 en de instellingen zijn beide verwerkingsverantwoordelijk. Het onderzoeksbureau Ipsos is bewerker, ingeschakeld door Studiekeuze123. Alle drie de partijen zijn verwerker en hebben de taak om ervoor te zorgen dat er maatregelen getroffen worden om datalekken te voorkomen.

Wanneer er toch een datalek optreedt, zal de verantwoordelijke partij dit gelijk melden aan Studiekeuze123. Studiekeuze123 en de verantwoordelijke zullen vervolgens in samenspraak besluiten of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. Meer informatie over het beoordelen van een datalek leest u op de website van de Autoriteit Persoonsgegevens.

Mocht u nog vragen hebben, neem dan gerust contact met ons op via info@nse.nl.