Het kan helaas voorkomen, ondanks dat u alle maatregelen heeft genomen, de organisatie toch wordt getroffen door een datalek. Weet u wat er moet gebeuren als er binnen uw organisatie een datalek is en er persoonsgegevens gelekt zijn? Het is belangrijk om u aan de volgende punten te houden wanneer er sprake is van een datalek.
Autoriteit Persoonsgegevens
De meldplicht datalekken geldt in Nederland al sinds 2016. Onder de nieuwe Algemene verordening gegevensbescherming (AVG) wet die sinds 25 mei 2018 geldt, blijft de meldplicht datalekken bestaan.
Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dit is bijvoorbeeld het geval wanneer er onbedoeld toegang is tot persoonsgegevens bij een organisatie. Bijvoorbeeld bij verlies van een USB-stick met niet-versleutelde persoonsgegevens, een cyberaanval waarbij persoonsgegevens zijn gelekt of een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Wanneer u een datalek heeft, hoeft u dit alleen aan de Autoriteit Persoonsgegevens te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. Als dit wel het geval is, dan moet de organisatie de datalek melden binnen 72 uur. Deze termijn wordt gerekend vanaf het moment dat het lek is geconstateerd. Zorg ervoor dat u bij het maken van een melding de volgende punten beschrijft:
- De aard van de inbreuk;
- De instanties waar meer informatie over de inbreuk kan worden verkregen;
- De aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- Een beschrijving van de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens;
- De maatregelen die de organisatie heeft genomen of voorstelt om te gaan nemen om deze gevolgen te verhelpen.
Een datalek kunt u melden via dit meldloket.
Melding maken bij betrokkenen
Als de gelekte persoonsgegevens nadelige gevolgen hebben voor betrokkenen, moeten zij direct op de hoogte gebracht worden. Echter gelden hiervoor een aantal uitzonderingen. Als bijvoorbeeld de gelekte persoonsgegevens versleuteld zijn. Dit kan zijn een verloren USB-stick met persoonsgegevens die met een encryptie is beveiligd, dan hoeft dit niet gemeld te worden aan de betrokkene. Wel moet u er in dit geval voor zorgen dat u kunt aantonen dat de bestanden versleuteld zijn.
Boete opleggen
De Autoriteit Persoonsgegevens zal direct een boete opleggen als er sprake is van ernstig verwijtbare nalatigheid. De AP zal in de meeste gevallen eerst een bindende aanwijzing geven. In deze aanwijzing staat de gewenste houding van de overtreder volgens de AVG. Door deze bindende aanwijzing krijgt de overtreder de mogelijkheid om de overtreding te herstellen. Indien de overtreder de aanwijzing niet opvolgt, zal er alsnog een boete worden opgelegd.
Praktische tips
Naast het wel of niet melden van een datalek bij de AP zijn er ook nog een aantal andere zaken waar u rekening mee moet houden.
Het is aan te bevelen om een functionaris gegevensbescherming (FG) te betrekken bij de afhandeling van een datalek. De FG kan u bijvoorbeeld adviseren bij het informeren van de betrokkenen. Wilt u weten of u een FG nodig heeft binnen uw organisatie? Of heeft u hulp nodig bij de beveiliging van persoonsgegevens of het melden van een datalek, advies over hoe u uw databeschermings- of privacy beleid opstelt, ondersteuning nodig bij een datalek? Grip IT Consultancy heeft op dit gebied de juiste expertise en ervaringen in huis hebben om u te helpen. Neem gerust contact met ons op en wij helpen u graag!