Redactie - 28 januari 2021

Europese Dag van de Privacy: wat te doen bij een datalek?

Europese Dag van de Privacy: wat te doen bij een datalek? image

28 januari staat in het teken van de Europese Dag van de Privacy, ook wel bekend als Dataprotectiedag. Deze dag is in 2007 in het leven geroepen door de Raad van Europa, en bedoeld om het gebruik en de beveiliging van persoonsgegevens door bedrijven extra onder de aandacht te brengen.

We hebben dit jaar te maken met een speciale editie, want het is in 2021 precies veertig jaar geleden dat het Dataprotectieverdrag werd ondertekend. Dit verdrag legde de basis voor de Europese privacybescherming, uiteindelijk resulterend in de AVG. Een mooi moment dus, om stil te staan bij de bescherming van persoonsgegevens en het melden van datalekken.

Datalekken melden

De AVG stelt organisaties verplicht om zorgvuldig om te gaan met persoonsgegevens. Lukt dit niet, en vindt er een datalek plaats, dan moet dit gemeld worden bij de Autoriteit Persoonsgegevens (AP). Maar wanneer is er precies sprake van een datalek? Debby Meijer-van der Leest is specialist op het gebied van privacy wetgeving en heeft een rol gespeeld bij de ontwikkeling van een AVG Awareness training bij opleidingsinstituut The Ministry of Compliance. Ze vertelt wat te doen in het geval van een datalek.

Het verlies van een USB-stick met persoonsgegevens, de diefstal van een laptop met klantgegevens of een e-mail die bij de verkeerde ontvanger terechtkomt, het zijn allemaal voorbeelden datalekken. Als onderneming moet je zelf beoordelen of sprake is van een datalek, en of dit gemeld moet worden bij de AP en de getroffen persoon/personen. Maar dit is niet altijd even makkelijk te bepalen.

Stap 1: bepalen of er sprake is van een datalek

Volgens de AVG is er sprake van een datalek als er een inbreuk heeft plaatsgevonden op de beveiliging van persoonsgegevens, die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van deze gegevens. Het verlies van gegevens is dus niet per se een datalek. Voor een datalek onder de AVG moet er sprake zijn van het verlies van persoonsgegevens.

Ook kan er sprake zijn van een data-incident, zonder dat dat direct als een datalek moet worden aangemerkt. Dit is het geval wanneer er wel iets fout is gegaan, maar een datalek toch op tijd is voorkomen. Een voorbeeld hiervan zijn enveloppen met ‘verkeerde’ persoonsgegevens aan de geadresseerden die nog net op tijd zijn onderschept bij de postkamer.

Stap 2: datalek melden bij de AP

In de regel zal er binnen een organisatie een procedure zijn voor het melden van datalekken bij de AP. Het gaat erom dat zo snel mogelijk intern wordt aangegeven dat er een mogelijk datalek plaatsvindt of heeft plaatsgevonden. Afhankelijk van de inrichting kan het zijn dat je het vermoeden van een datalek meldt bij de Functionaris gegevensbescherming, de Data Protection Officer of Compliance Officer, of een andere functionaris die hiermee belast is. Hierbij zal dan door die functionaris ook worden bekeken welke maatregelen er moeten worden genomen om het datalek te stoppen (als het nog voortduurt) of te voorkomen in de toekomst.

Moet het datalek volgens de procedure inderdaad gemeld worden bij de AP? Dan moet dit binnen 72 uur na ontdekken gebeuren. Bij de melding moet in ieder geval duidelijk worden hoeveel mensen het betreft, welke persoonsgegevens en wat de aard van de inbreuk is. Ook moet je aangeven wanneer het lek is ontdekt, en wat de gevolgen zijn van het datalek.

Stap 3: datasubject informeren

Als er een aanzienlijk risico is dat de persoon van wie de gegevens gelekt zijn schade lijdt, dan moet de onderneming ook deze persoon informeren. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie van de gegevens of discriminatie.

Financiële instellingen vormen hierop een uitzondering op grond van de Uitvoeringswet AVG (UAVG). Zij moeten op basis van de zorgplicht bepalen of ze het datasubject moeten informeren.

Stap 4: documentatie in het datalekregister

Vanwege de verantwoordingsplicht uit de AVG moet iedere organisatie die persoonsgegevens verwerkt een datalekregister opstellen. Hierin neem je alle datalekken en dataincidenten op die er hebben plaatsgevonden. Het gaat hierbij zowel om de datalekken die gemeld zijn bij de AP, alsook om de dataincidenten waarbij geconcludeerd is dat een melding aan de AP niet nodig is. Belangrijk hier is ook de overwegingen in de besluitvorming vast te leggen.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW