088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

BLOG: Wat te doen bij een datalek – Op weg naar de AVG

Sinds 1 januari 2016 is in Nederland de ‘Meldplicht Datalekken’ van kracht. Ook onder de Algemene Verordening Gegevensbescherming (AVG/GDPR) per mei 2018 wordt deze meldplicht voortgezet. Het is belangrijk hier rekening mee te houden, omdat dit binnen de AVG juist het thema is waarop gesanctioneerd kan worden.

Wees voorbereid!

De AVG schrijft voor dat een datalek binnen 72 uur gemeld moet worden bij de toezichthouder. Deze 72 uur gaan in vanaf het moment dat het datalek wordt ontdekt. Dit is een kort tijdsbestek, zeker bij een calamiteit.

Wat is een datalek?

In de AVG wordt een datalek gedefinieerd als: “iedere inbreuk op de beveiliging van persoonsgegevens die leidt tot enige ongeoorloofde verwerking daarvan.” Datalekken moeten worden gemeld bij de toezichthouder en in sommige gevallen ook bij de betrokkene(n).

Hoe stel ik vast of sprake is van een datalek?

Om te bepalen of sprake is van een datalek en aan welke partijen deze gemeld moet worden, kan onderstaand schema worden gehanteerd:

Ad 1: Voorbeelden van een beveiligingsincident

Een beveiligingsincident is niet per definitie een datalek. Voorbeelden van beveiligingsincidenten zijn;

  • Een kwijtgeraakte USB stick
  • Een gestolen laptop
  • Een inbraak door een hacker
  • Een malware besmetting
  • Een calamiteit

Ad 2: Wanneer is er sprake van een datalek

Volgens de AVG is sprake van een datalek bij verlies of onrechtmatige verwerking van persoonsgegevens.

Er is sprake van verlies, indien:

  • Niemand de persoonsgegevens meer heeft
  • Er geen complete en actuele reservekopie van de persoonsgegevens meer is.

Er is sprake van onrechtmatige verwerking, indien:

  • Persoonsgegevens zijn aangetast (bij versleuteling door bijv ransomware);
  • Onbevoegde kennisneming van de persoonsgegevens plaatsvindt;
  • Persoonsgegevens ten onrechte zijn gewijzigd;
  • Persoonsgegevens ten onrechte zijn verstrekt.

Ad 3: Melden Autoriteit Persoonsgegevens

Een datalek dient gemeld te worden aan de Autoriteit Persoonsgegevens (AP), zeker wanneer het gaat om gegevens van gevoelige aard of om gegevens van grote groepen mensen. Gegevens van gevoelige aard zijn bijvoorbeeld gegevens over iemands financiële situatie, werkprestatie, medische aandoeningen, inloggegevens of BSN.

Ad 4: Melden betrokkene

In sommige gevallen dient een datalek ook aan betrokkenen gemeld te worden. Dit geldt indien sprake is van verlies of onrechtmatige verwerking van persoonsgegevens die ongunstige gevolgen voor betrokkenen hebben. Dit zijn bijvoorbeeld gegevens van gevoelige aard, gegevens die leiden tot aantasting van goede naam, of gegevens die kunnen leiden tot identiteitsfraude of discriminatie. Er geldt geen meldplicht indien passende technische maatregelen zijn getroffen waardoor de gegevens bij kennisname onbegrijpelijk of ontoegankelijk zijn.

Maak een ‘meldplan datalekken’ en test de aanpak

Wij vinden het belangrijk dat het voorkomen van datalekken – en het adequaat kunnen reagaren in het geval van een calamiteit – een speerpunt is in het privacybeleid van organisaties. Omdat het constateren van een datalek leidt tot vervelende en forse boetes. Omdat klanten en stakeholders het vertrouwen moeten hebben dat hun data bij u veilig is. En omdat het verliezen of onrechtmatig verwerken van data kan leiden tot imagoschade.

Eerste stap: Stel een protocol datalekken op waarin bepaald is hoe, bij wie en wanneer datalekken moeten worden gemeld. Communiceer dit protocol met uw medewerkers.

Meer informatie: meld u aan voor ons seminar IT Privacy & Security op 6 september 2017

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl