De Autoriteit Persoonsgegevens (AP) heeft het meldloket datalekken een update gegeven. Melders kunnen nu onder andere een vragenlijst bekijken, die ook in het Engels beschikbaar is. Het melden van een datalek is hiermee makkelijker geworden. Welke informatie u nodig heeft voor een melding en hoe dat in zijn werk gaat, bespreken we in deze blog.
Wanneer ben ik verplicht een datalek te melden bij de AP?
In veel gevallen dient u een datalek te melden bij de Autoriteit Persoonsgegevens (AP) en in sommige gevallen ook aan de betrokkenen. Van een datalek is sprake als een kwetsbaarheid in de security heeft geleid tot vernietiging, verlies of wijziging van persoonsgegevens of als er sprake is van verstrekking of toegang tot persoonsgegevens zonder dat dit de bedoeling was.
Is het niet waarschijnlijk dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen?
Dan hoeft u in principe geen melding te maken.
De AP heeft een voorbeeldlijst wel/niet melden aan de AP en betrokken personen opgesteld om u te helpen bij uw afweging.
Binnen welke termijn dien ik een datalek te melden bij de AP?
De verwerkingsverantwoordelijke meldt een datalek bij de AP. Dit gebeurt zonder onredelijke vertraging, maar uiterlijk binnen 72 uur na kennisname van het datalek.
Na kennisname betekent dat een organisatie eerst tijd mag nemen om vast te stellen of een lek in de beveiliging daadwerkelijk een datalek heeft veroorzaakt. Indien het niet mogelijk is om alle informatie - die benodigd is bij het melden van een datalek - in een keer te verstrekken, kan de informatie ook in delen worden verstrekt.
Hoe maak ik melding van een datalek?
Een datalek bij de AP kan via het online meldformulier datalekken. Het invullen van het meldformulier duurt ongeveer 30 tot 60 minuten, zo valt te lezen op de site.
Voor het maken van een melding heeft u namelijk aardig wat informatie nodig, die u dient in te vullen in een uitgebreide vragenlijst. Om u goed voor te bereiden op het melden van een datalek, heeft de AP nu de volledige vragenlijst vrijgegeven.
Hieronder delen wij de belangrijkste aandachtspunten met u en de informatie die u zeker bij de hand moet houden om een datalek te kunnen melden.
Welke informatie is noodzakelijk om een datalek te melden?
In de ‘vragenlijst meldformulier datalekken’ van de AP staat te lezen welke informatie u nodig hebt als u een melding doet. Deze informatie heeft u altijd nodig:
contactgegevens van de persoon die de AP kan benaderen bij vragen;
contactgegevens van uw functionaris voor de gegevensbescherming (FG) (indien van toepassing);
correspondentie over de ontdekking van het datalek;
verwerkingsregister (artikel 30 AVG);
datalekkenregister (artikel 33, lid 5 AVG);
de getroffen maatregelen om het datalek te beëindigen;
de getroffen maatregelen om het datalek in de toekomst te voorkomen;
de maatregelen die u al voor het datalek had getroffen;
data protection impact assessment (DPIA) (indien van toepassing).
Indien sprake is geweest van een hacking- of malware-incident of ander incident waarbij (extern) onderzoek heeft plaatsgevonden:
het onderzoeksrapport naar aanleiding van de inbreuk.
Als u gebruikmaakt van een derde partij om persoonsgegevens te verwerken:
verwerkersovereenkomst;
andere overeenkomsten, zoals een samenwerkingsovereenkomst.
Als u de betrokkenen (de getroffen personen) moet informeren:
correspondentie aan de betrokkenen.
Vergeet het datalekregister niet!
Iedere organisatie die verwerkingsverantwoordelijke is volgens de AVG moet een datalekregister hebben. In het register worden inbreuken in verband met persoonsgegevens opgenomen. In het register staan zowel de datalekken die gemeld moeten worden, als degenen waarvoor geen meldplicht geldt.
Neem in het register in ieder geval de volgende informatie op:
de feiten over het datalek. Denk daarbij aan de oorzaak, de situatie en welke persoonsgegevens getroffen zijn;
de gevolgen van het datalek;
de maatregelen die u heeft getroffen om het datalek te beëindigen en om herhaling te voorkomen.
Meer weten hierover? Lees onze blog ’10 praktische tips om datalekken beter te registreren’.
Hulp nodig bij het melden en/of voorkomen van datalekken?
Wilt u meer weten over het voorkomen of melden van datalekken? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.