Privacy - Wat niemand over je mag weten

Wbp en buitenlandse vestiging

25-11-2016, 09:54 door kattapult, 5 reacties
Wij zijn intern even in discussie of onderstaande wel of niet onder Wpb (en dus meldplicht datalekken) valt. Ik ben benieuwd hoe jullie hier tegenaan kijken;

We zijn een Nederlands bedrijf. Geregistreerd bij de KVK en ons hoofdkantoor staat in Nederland. Wij verwerken persoonsgegevens, primair van onze eigen medewerkers en van klanten. Vanuit dit oogpunt simpel en zijn we dus onderhevig aan de Wpb.

Welnu, we hebben een Duitse vestiging. Gisteren is van een Duitse medewerker aldaar een laptop gestolen, met daarop persoonsgegevens van enkele Duitse medewerkers.

Moeten wij hier melding van maken of niet?

Moeten we dit redeneren vanuit het feit dat wij een Nederlands bedrijf zijn, en onder de Nederlandse wet vallen (en daardoor dus alle vestigingen en persoonsgegevens in het buitenland hier ook onder vallen)

Of moeten we dit juist redeneren vanuit de persoonsgegevens die het betreft (in dit geval dus gegevens van medewerkers met een Duitse nationaliteit en die vallen dus niet onder de Nederlandse wet)
Reacties (5)
25-11-2016, 10:08 door karma4
Het is niet de vraag of het gemeld moet worden.
https://www.iitr.de/veroeffentlichungen-des-instituts-fuer-it-recht/292-datenschutz-informationspflichten-bei-datenpannen-nach-42a-bdsg.html

Meer de vraag in welk land het gedaan moet worden. Slimme juristen kijken of je een keus hebt om te kiezen en wat dan de beste keus is.
25-11-2016, 11:40 door Anoniem
Eerdere uitspraken van de duitse Datenschutzbeauftragten hebben betrekking op buitenlandse bedrijven, maar duitse inwoners. Het lijkt me dus, dat je in ieder geval volgens duits recht moet handelen. Het is in Duitsland gebeurt en het betreft duitsers.
25-11-2016, 12:39 door Anoniem
De Duitse wet is veel verder dan de Europese / Nederlandse inzake dit soort incidenten. Ik zou maar heel snel uitzoeken hoe dit werkt in Duitsland. Het betreft hier Duitsers en Duitsland, dus dat is dan ook het land waar je het moet melden.

Als het ook Nederlanders betreft, of Nederlandse data, dient het ook daar gemeld te worden.
25-11-2016, 13:26 door Anoniem
Wbp - Artikel 4

1 Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.

Verder:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Cheers.
25-11-2016, 16:08 door kattapult - Bijgewerkt: 25-11-2016, 16:08
Door Anoniem: Wbp - Artikel 4

1 Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.

Verder:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken

Cheers.

Even naar de analogie een fictief voorbeeld trekken:

Gesteld dat een buitenlandse medewerker van Philips het complete Nederlandse personeelsbestand op zijn laptop heeft, en werkzaam is op een buitenlandse vestiging van Philips. Als de laptop wordt gestolen, hoeft dit dan niet gemeld te worden? (anders gezegd, je moet dus redeneren vanuit de vestiging waar het incident zich voor doet, en niet vanuit de gegevens die het betreft?)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.