Sinds 1 januari 2016 is de meldplicht datalekken ingevoerd. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Een datalek hoeft niet het gevolg te zijn van een beveiligingsincident op een computer. Het kan ook gaan over een envelop met persoonsgegevens of een USB stick met vertrouwelijke rapporten die bij het reguliere afval terecht zijn gekomen.

Als zich een datalek voordoet, moet de verantwoordelijke het lek melden bij de Autoriteit Persoonsgegevens. Het maakt daarbij niet uit of het lek is ontstaan door een fout of door overmacht. Als er kans is op verlies of onrechtmatige verwerking van persoonsgegevens moeten daarnaast óók de betrokkenen worden geïnformeerd.

Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete van de Autoriteit Persoonsgegevens. Die kan oplopen tot maar liefst E820.000,- of 10% van de jaaromzet per overtreding.

De meldplicht datalekken heeft dus grote consequenties voor bedrijven. Het onderstreept echter ook het belang van vertrouwelijke vernietiging. Het CA+ keurmerk van de FNOI verzekert bedrijven van de vertrouwelijke verwerking van gegevensdragers zoals archiefmappen, USB-sticks en computers.