Wel of niet melden datalekken
Wij krijgen vaak de vraag of een datalek altijd gemeld moet worden. Het antwoord op deze vraag is nee, u hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. Maar let op als u een datalek heeft wat inderdaad kan leiden tot een hoog risico voor de betrokkenen en u meldt het datalek niet dan kunt u een boete krijgen. Op 27 november heeft de AP een boete van € 600.000 aan een organisatie opgelegd voor het niet melden van een datalek.
Hieronder een aantal veelgestelde vragen omtrent melden datalekken:
1. Wat is een datalek?
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.
2. Wat zijn voorbeelden van een datalek?
Voorbeelden van datalekken zijn:
- het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
- een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
- een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
3. Wat is de meldplicht datalekken?
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
4. Moet ik alle datalekken melden bij de AP?
Nee. Het melden van een datalek hoeft alleen als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. De Guidelines meldplicht datalekken, en dan met name hoofdstuk IV, kunnen u helpen te bepalen of u een datalek moet melden aan de Autoriteit Persoonsgegevens.
5. Moet ik een datalek ook melden aan betrokkenen?
Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert.
Hiervoor moet u onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
6. Wat is er veranderd aan de meldplicht onder de AVG vergeleken met de Wbp?
De meldplicht datalekken is onder de Algemene verordening gegevensbescherming (AVG) voor het grootste gedeelte hetzelfde als eerder onder de Wet bescherming persoonsgegevens (Wbp). De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. U moet onder de AVG alle datalekken documenteren, inclusief de feiten over het datalek, de gevolgen daarvan en de genomen corrigerende maatregelen. Met deze documentatie moet de Autoriteit Persoonsgegevens (AP) kunnen controleren of u aan de meldplicht heeft voldaan.
7. Waar moet je een datalek melden?
Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldloket datalekken op de site van de Autoriteit Persoonsgegevens.
Meer veelgestelde vragen en informatie omtrent melden datalekken vindt u op https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken (bron)
Geen boete?
Zorg er dan voor dat u de AVG implementeert zodat u niet voor hoge boetes komt te staan. Het is raadzaam om snel aan de slag te gaan. Immers is vanaf 25 mei 2018 de AVG al verplicht voor bedrijven. ISO Privacy Advies Eindhoven kan u helpen en zorgt ervoor dat u aantoonbaar voldoet aan de AVG. Hier vindt u meer informatie over ons AVG basispakket.
Zorg dat uw organisatie voldoet aan de Algemene Verordening Gegevensbescherming
Meer weten over de AVG of de het inhuren van een Privacy Officer? Bel dan naar 040-7878750 of maak gebruik van ons terugbelformulier voor een gratis en vrijblijvend Privacy updategesprek.
