Wat moet je weten over de meldplicht datalekken?

Wat je waarschijnlijk al weet over de meldplicht datalekken...

  • Vanaf 1 januari 2016 is de meldplicht datalekken in Nederland van kracht.

  • Vanaf deze datum heet het College Bescherming Persoonsgegevens Autoriteit Persoonsgegevens (AP) en is zij uitgerust met een nieuwe boetebevoegdheid.

  • Een datalek moet binnen 72 uur na ontdekking aan de Autoriteit Persoonsgegevens worden gemeld.

  • Op het te laat of ten onrechte niet melden van een datalek, staat uiteindelijk een maximumboete van €500.000, en in uitzonderlijke gevallen zelfs €820.000.

Wat je waarschijnlijk nog niet weet over de meldplicht datalekken...

  • Het criterium dat bepaalt of een datalek aan de Autoriteit Persoonsgegevens gemeld moet worden of niet (‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’ dan wel de ‘aanzienlijke kans’ hierop), moet je zien als een ondergrens. Dat wil zeggen: wanneer, volgens dit criterium, een datalek niet gemeld hoeft te worden aan de AP, hoeft dat ook niet gemeld te worden aan de betrokkenen.

  • Het criterium ‘(aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’, lijkt iets waar alleen juristen mee overweg kunnen. Het komt echter (grotendeels) neer op het doorlopen van het hier te downloaden schema.

  • Wanneer je een externe persoon (ook wel bewerker genoemd) inschakelt om persoonsgegevens voor je te verwerken, is de kans groot dat alleen deze bewerker een datalek kan ontdekken. Op het moment dat dit gebeurt, begint voor jou de tijd van 72 uur te lopen. Het is dus zaak dat je duidelijke afspraken maakt met je bewerkers. Deze kunnen bijvoorbeeld in de bewerkersovereenkomst worden opgenomen. Er moeten afspraken gemaakt worden over welke informatie, binnen welke termijn, op welke wijze, aan welke contactpersoon geleverd moet worden.

Wat je echt moet weten over de meldplicht datalekken voor de praktijk...

In de praktijk blijkt het melden van een datalek binnen 72 uur krap te zijn. Daarom is het raadzaam om een proces ten behoeve van de meldplicht te implementeren in jouw organisatie. Voordat het meldformulier ingevuld kan worden, moet je veel informatie over het datalek verzamelen. Deze informatie is waarschijnlijk afkomstig uit verschillende onderdelen van jouw organisatie. De personen die tezamen een datalek af moeten handelen, moeten elkaar wel (op tijd) weten te vinden. Ook is het handig als zij weten wie verantwoordelijk is voor het samenbrengen van de informatie. Deze persoon moet op diens beurt weer weten over welke informatie de andere betrokken personen beschikken.

Zoals hierboven uitgelegd lijkt het een tijdrovend proces om in te richten, dat hoeft echter niet zo te zijn als je over de juiste informatie beschikt. Wij lichten een tipje van de sluier op: een datalek is door drie spelers in zes fasen af te handelen.

De drie spelers zijn:

  1. Degene die het datalek ontdekt, ook wel ‘ontdekker’ genoemd;
  2. Degene die zorgt voor technische ondersteuning, ofwel de ‘technicus’;
  3. Degene die de afhandeling van het datalek coördineert en daadwerkelijk meldt bij de AP, ook wel ‘melder’ genoemd.

De zes fasen zijn:

  1. Ontdekken
    Een datalek wordt ontdekt door ‘ontdekker’, deze maakt hier een interne melding van zodat ‘melder’ op de hoogte raakt.

  2. Inventariseren
    ‘Melder’ weet welke informatie noodzakelijk is en begint zijn zoektocht hiernaar.

  3. Kwalificeren
    Wanneer ‘melder’ de noodzakelijke informatie heeft vergaard, kan worden bepaald of het om een datalek gaat dat gemeld moet worden of niet.

  4. Repareren
    ‘Technicus’ zal, indien nodig, het datalek moeten repareren.

  5. Melden
    Afhankelijk van welke kwalificatie het datalek heeft gekregen, zal het datalek aan de AP en eventueel betrokkene gemeld moeten worden.

  6. Archiveren
    Een en ander dient gearchiveerd te worden.

Als jouw organisatie groot en bekend is, is het aan te raden om een communicatiestrategie uit te stippelen. Wanneer je betrokkenen dient te informeren, moet dit zo snel mogelijk gebeuren zodat zij maatregelen kunnen treffen om de negatieve gevolgen van het datalek te beperken. Als gevolg hiervan is de kans groot dat de pers lucht krijgt van het datalek. Zowel voor de communicatie met de betrokkenen als communicatie met de pers, is het raadzaam om van tevoren o.a. de volgende vragen te beantwoorden: welke toon ga je gebruiken, welke afdelingen worden ingeschakeld, welke kanalen worden gebruikt, op welke manier ga je de betrokkenen bereiken en beschikt de organisatie over de contactgegevens.

Dus, we kunnen concluderen dat de meldplicht datalekken vraagt om interne voorbereiding en kennis. Zorg dat je goed voorbereid bent en dat werknemers weten hoe zij een datalek kunnen herkennen en begrijpen wat ze moeten doen.

Privacy Company heeft een standaardprocedure ontwikkeld die je binnen jouw organisatie kunt implementeren. Hierbij worden ook templates en beoordelingskaders geleverd. Neem voor meer informatie contact met ons op via info@privacycompany.eu.

Author image
Rudolf Kroes
Adviseur bij Privacy Company