Vragen of afspraak maken?

Stuur ons een bericht op Whatsapp

Stappen bij een datalek

Is er sprake van een datalek binnen de organisatie? In de meeste situaties ben je verplicht om datalekken te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen ben je ook verplicht tot het melden van datalekken bij de betrokken personen. Ervaringen uit de praktijk tonen aan dat een aanzienlijk aantal datalekken niet wordt gemeld, terwijl dit wel had gemoeten. We gaan hier op de stappen die je moet nemen bij een datalek.

De AVG spreekt van een datalek als er sprake is van “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. In de meeste gevallen zal zo’n datalek per ongeluk zijn. Bijvoorbeeld omdat je een mail naar de verkeerde ontvanger stuurt, je bij het versturen van een mail alle e-mailadressen per ongeluk in de cc hebt gezet in plaats van de bcc of omdat een klant per ongeluk gegevens van een andere klant te zien krijgt. De inbreuk kan uiteraard ook opzettelijk gebeuren. Dit is bijvoorbeeld het geval als persoonsgegevens in handen van hackers komen of als jouw bestanden door ransomware worden gegijzeld. Er is namelijk sprake van ongeoorloofde toegang tot de bestanden.

Is er sprake van een datalek? Nadat het datalek is opgelost en je de nodige beveiligingsmaatregelen hebt getroffen om ervoor te zorgen dat het datalek niet nog een keer gaat voorkomen, moet je een aantal administratieve stappen doorlopen.

 

Meldplicht AP

Bij een datalek ben je in de meeste gevallen verplicht om het datalek te melden aan de AP, en in sommige gevallen ook bij de betrokkene(n). Of je een datalek moet melden bij de AP, hangt af van de mogelijke impact van het datalek op de betrokkenen (slachtoffers). Een datalek moet aan de AP gemeld worden als sprake is van een risico voor de rechten en vrijheden van betrokkenen. Je moet dus een risico-inschatting maken. Bij het bepalen van het risico van een datalek kijk je naar de omstandigheden van het datalek. De volgende vragen kunnen je helpen bij deze risicoafweging:

  • type inbreuk: zijn de gegevens bijvoorbeeld gewist of gelekt?
  • de aard en gevoeligheid van de persoonsgegevens, is er bijvoorbeeld sprake van bijzondere persoonsgegevens strafrechtelijke persoonsgegevens?
  • zijn de gelekte gegevens makkelijk te herleiden naar een persoon?
  • kan de fysieke, materiële of immateriële schade voor het slachtoffer groot zijn?
  • Hoe betrouwbaar is de onbevoegde ontvanger?

Kom je na de risico-inschatting tot de conclusie dat het datalek gemeld moet worden bij de AP? Meld het datalek dan binnen 72 uur en “zonder onredelijke vertraging”  bij de AP. Gaat het om een erg complex incident waardoor het niet lukt om binnen 72 uur melding te doen, dan moet je binnen 72 uur een pro-forma melding doen. Let op! Het gaat hierbij om klokuren en niet om werkdagen. De 72 uur loopt ook door tijdens weekenden en feestdagen.

Een verwerker moet een datalek zonder enige vertraging bij de verwerkingsverantwoordelijke melden. Voor de verwerkingsverantwoordelijke begint de termijn van 72 te lopen zodra hij een melding van de verwerker heeft ontvangen.

Uitzonderingen

In sommige gevallen hoef je het datalek niet te melden bij de AP. Er gelden een aantal uitzonderingen. Ten eerste hoef je geen melding te maken als de lek geen risico’s voor de rechten en vrijheden van betrokkenen met zich meebrengt. Dit kan het geval zijn als je passende maatregelen hebt getroffen voordat het datalek plaatsvond bijvoorbeeld door de gegevens goed te versleutelen. Heeft er een lek plaatsgevonden, dan moeten de gegevens na de lek nog intact zijn en de versleuteling mag geen gevaar hebben gelopen tijdens het datalek.

Daarnaast hoeft een datalek niet te worden gemeld als de persoonsgegevens zijn gelekt aan een betrouwbare ontvanger. De AP ziet onder meer medewerkers en ontvangers met een beroepsgeheim als betrouwbare partijen.

Ten slotte hoeft een grensoverschrijdende datalek alleen gemeld te worden bij de leidend toezichthouder. Als de AP niet de leidende toezichthouder is bij een datalek, moet je het datalek melden bij een leidende toezichthouder ergens anders in de EU.

 

Meldplicht betrokkene

Brengt een datalek een hoog risico voor de rechten en vrijheden van de betrokkenen, dan moet je het datalek ook melden bij de betrokkenen. Er is sprake van een hoog risico wanneer het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokkenen.

Melden aan de betrokkenen is alleen niet nodig in de volgende gevallen:

  • de gegevens zijn op een dusdanige manier versleuteld dat ze onbegrijpelijk zijn voor onbevoegden;
  • je hebt achteraf maatregelen getroffen waardoor het dreigende hoge risico zich waarschijnlijk niet meer zal voordoen;
  • een van de uitzonderingen van artikel 41 of 42 UAVG geldt;
  • de melding zou onevenredige inspanningen vergen.

In het laatste geval is een openbare melding vereist, bijvoorbeeld op de website.

 

Registratieplicht

Datalekken moet je altijd registreren in een intern datalekregister. De registratieplicht geldt ook als je een datalek niet hoeft te melden. De registratie moet de volgende informatie bevatten:

  • de details van het datalek;
  • de gevolgen die het had voor de betrokkene(n); en
  • de corrigerende maatregelen die zijn getroffen.
Stappen datalek

Stappen datalek

Slot

Twijfel je of je een datalek moet melden bij de AP en/of de slachtoffers, of heb je een andere vraag over een datalek, neem dan vrijblijvend contact op via het contactformulier, de WhatsApp-button op deze pagina of via 040 304 13 84.

 

Heb je vragen of wil je graag eens kosteloos kennismaken?

Neem dan telefonisch of per e-mail contact met ons op. Of vul het contactformulier in, en dan nemen wij zo snel mogelijk contact met jou op.

Bereikbaar op werkdagen tussen 09:00 en 17:00 uur

"*" geeft vereiste velden aan