Een datalek, en nu?

donderdag 19/07/2018

Wat moet je nu doen als je een datalek constateert als ondernemer? De AVG, die op 25 mei is ingegaan, schrijft voor dat uw organisatie zogenaamde datalekken, moet melden bij de Autoriteit Persoonsgegevens (AP).

 

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én indien persoonsgegevens verloren zijn gegaan dan wel onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is.

 

Datalek snel melden

Indien een datalek heeft plaatsgevonden, meldt u deze zonder onredelijke vertraging, maar wel uiterlijk 72 uur nadat u er kennis van heeft genomen. Indien de melding aan de AP niet binnen 72 uur plaatsvindt, moet u motiveren waardoor de vertraging is opgetreden.

 

Moet je alles melden?

Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

 

Persoonsgegevens van gevoelige aard

Persoonsgegevens van gevoelige aard zijn:

  • bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen en gegevens over gezondheid
  • BSN-nummer
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting
  • gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim

Factoren met (kans op) ernstige nadelige gevolgen:

  • omvangrijke verwerkingen of een keten van gegevensverwerking
  • ingrijpende beslissingen die worden genomen met de gegevens
  • kwetsbare groepen zoals kinderen en gehandicapten

 

Hoe meld je een datalek?

Organisaties die een datalek moeten melden, doen dit bij de AP via het digitale meldingsformulier op de website van de AP. U kunt met dit formulier ook een voorlopige melding doen en deze later aanvullen of intrekken.

 

Melding aan betrokkene

Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (ofwel ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene(n)), dient u de betrokkene(n) direct te informeren. De mededeling aan de betrokkene bevat een toelichting, in duidelijke en eenvoudige taal, op wat er is gebeurd, op de acties en maatregelen die zijn ondernomen, wat het betekent voor de betrokkene en het advies dat u geeft over wat betrokkene het beste kan doen.

Let op! In de volgende situaties dient altijd gemeld te worden aan betrokkene(n): het betreft lekken van persoonsgegevens van gevoelige aard, bijvoorbeeld BSN-nummers of financiële gegevens, de persoonsgegevens zijn blootgesteld aan vernietiging of aantasting of de versleuteling van de persoonsgegevens is niet adequaat of niet volledig.

 

Niet melden aan betrokkene

De mededeling aan de betrokkene(n) is niet vereist wanneer een van de volgende voorwaarden is vervuld:

  • u heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling van gegevens
  • u heeft achteraf maatregelen genomen om ervoor te zorgen dat het bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen
  • de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkene even doeltreffend wordt geïnformeerd.

Mocht je vragen hebben naar aanleiding van dit artikel, neem dan contact op met ons kantoor.