In dit overzicht vind je zeven vragen en antwoorden die je kunt gebruiken om een idee te krijgen hoe je de (bedrijfs)processen kunt inrichten. Hulp nodig? Neem contact met ons op.
Sinds 1-1-2016 kent Nederland de meldplicht datalekken al als verplichting. Met de komst van de AVG is deze meldplicht geïntroduceerd in alle lidstaten van de EU. De meldplicht houdt in dat organisaties, wanneer er een beveiligingsincident heeft plaatsgevonden waarbij persoonsgegevens zijn betrokken en er een risico aanwezig is dat gevolgen heeft voor de betrokkene, dat moet worden gemeld aan de Autoriteit Persoonsgegevens (AP) en soms ook aan de betrokkene zelf. Wordt een datalek niet gemeld, dan kan dit leiden tot sancties, zoals een boete, maar ook tot reputatieschade.
- Een inbreuk op de beveiliging, zowel technisch als organisatorisch van aard, waarbij persoonsgegevens betrokken zijn, is een datalek. Het gaat dan om beveiligingsincidenten waarbij persoonsgegevens vernietigd, verloren zijn gegaan of gewijzigd, of wanneer ze op een andere manier, expres of per ongeluk onrechtmatig zijn verwerkt zoals onbevoegde kennisname van de persoonsgegevens of een ongeoorloofde verstrekking, ook wanneer dit niet redelijkerwijs valt uit te sluiten.
- Een datalek typeert zich door inbreuk op de vertrouwelijkheid, integriteit en/of beschikbaarheid van persoonsgegevens.
- De AP moet geïnformeerd worden bij een datalek. Dit geldt altijd wanneer er persoonsgegevens betrokken zijn bij het incident. Uitzondering is wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
- De betrokkene hoeft alleen apart te worden geïnformeerd, wanneer het waarschijnlijk is dat het datalek een hoog risico tot gevolg heeft. Dit is het geval wanneer het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen van wie de gegevens zijn gelekt. Voorbeelden van dergelijke schade zijn: discriminatie, identiteitsdiefstal of identiteitsfraude, financieel verlies of reputatieschade.
- Dus een beveiligingsincident is géén datalek als er géén persoonsgegevens betrokken zijn bij het incident en een datalek hoeft niet te worden gemeld aan de AP als het niet waarschijnlijk is dat er een risico aanwezig is.
- Stel de AP (via het meldloket) onverwijld, binnen 72 uur, op de hoogte van het datalek en breng betrokkenen op de juiste wijze en binnen redelijke termijn op de hoogte van het lek. Let op: niet elk datalek hoeft te worden gemeld (zie vraag 3)!
- Neem zo snel mogelijk maatregelen om de impact van het datalek te verkleinen.
- Alle inbreuken in verband met persoonsgegevens moeten worden gedocumenteerd. De AVG geeft geen bewaartermijn voor de desbetreffende documentatie en verwijst naar het algemene uitgangspunt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk voor het te bereiken doel. Als de documentatie geen persoonsgegevens bevat dat is het ook niet noodzakelijk om een bewaartermijn vast te stellen. Uitgangspunt onder de Wbp (Wet bescherming persoonsgegevens) was dat de documentatie minimaal 1 jaar moest worden bewaard en gemelde datalekken 3 jaar.
- Breng – als dit nodig is – de betrokkene(n) zo spoedig mogelijk op de hoogte. Art. 34 stelt dat dit onverwijld dient te gebeuren maar hier wordt niet een termijn van 72 uur aan verbonden. Belangrijk is dat het zonder onevenredige vertraging gebeurt en dat de berichtgeving de betrokkene in staat stelt eventueel zelf maatregelen te nemen.
- Hoe: per post, sms, telefoon of andere individuele communicatie. Bij omvangrijkere datalekken is een combinatie van algemene voorlichting en individueel contact het beste.
- Wat: vermeld ten minste de aard van de inbreuk, waar de betrokkene meer informatie over het datalek kan krijgen en de maatregelen die genomen zijn ten aanzien van de datalek.
- Een boete variërend tussen € 0 – € 10.000.000 of 2% van de wereldwijde jaaromzet.
- Openbaarmaking van handhavingsbesluiten, zoals opgelegde boetes. NB. Er is geen openbaar register van gemelde datalekken.
- Onderzoek naar de naleving van de privacywetgeving binnen de organisatie.
- Maar misschien nog wel belangrijker; de mogelijke reputatieschade!
- Zorg voor goede technische als organisatorische beveiligingsmaatregelen.
- Creëer voldoende bewustzijn onder de medewerkers over wat een datalek is en wat ze moeten doen als er een datalek is.
- Maak goede afspraken met externe partijen die persoonsgegevens voor uw organisatie verwerken (ook wel (sub)verwerkers genoemd). Deze partijen moeten u goed en tijdig op de hoogte brengen van datalekken, leg dit dus vast in de verwerkersovereenkomst.
- Zorg voor een duidelijke procedure en duidelijke interne en externe communicatie.