Onder de AVG is de meldplicht datalekken blijven bestaan. Zodra u vermoedt dat er sprake is (geweest) van een datalek, moet u actie ondernemen. Mogelijk is het verplicht te melden bij de Autoriteit Persoonsgegevens (AP). Ook kan het nodig zijn om betrokkenen te informeren. Weet u welke stappen u op welk moment moet nemen?
Wanneer is sprake van een datalek?
De AP omschrijft het als volgt: “bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie.” Wilt u controleren of u te maken heeft met een datalek? Volg dan onderstaande checklist:
- Is er sprake van een kwetsbaarheid in de toegangsbeveiliging, oftewel een lek?
- Zo ja, heeft het lek geleid tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking of toegang tot gegevens?
- Zo ja, betreffen dit persoonsgegevens?
Als u op alle vragen ja kunt antwoorden, dan heeft u te maken met een datalek. In dat geval moet u toetsen of u een melding dient te maken.
Hoe werkt de meldplicht datalekken?
De verwerkingsverantwoordelijke, oftewel de organisatie of persoon verantwoordelijk voor de verwerking van persoonsgegevens, moet mogelijk een melding doen bij de Autoriteit Persoonsgegevens van het datalek. Als u optreedt als verwerker van persoonsgegevens en u ontdekt een lek, dan dient u dit direct te melden bij de verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijk moet zelf de afweging maken of er een melding aan de AP of de betrokken gemaakt wordt. Hieronder een toelichting.
Wel of niet melden aan de Autoriteit Persoonsgegevens?
U dient een datalek te melden, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Ter illustratie: een melding is niet nodig als een van uw medewerkers een versleutelde smartphone verliest. Als de encryptiesleutel alleen in het bezit is van de organisatie en de smartphone niet de enige kopie van persoonlijke data bevat, dan is die informatie ontoegankelijk voor onbevoegden en niet verloren gegaan. In dat geval hoeft er geen melding te worden gemaakt. Als later echter blijkt dat de encryptiesleutel of -software alsnog onveilig of kwetsbaar is, dan moet er alsnog een melding worden gemaakt.
Een datalek melden kan via de website van de Autoriteit Persoonsgegevens.
Wel of niet melden aan betrokkenen?
Als het waarschijnlijk is dat het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, dan moet u de betrokkenen informeren. Denk bij de beoordeling van hoog risico aan het soort persoonsgegevens (gevoelige persoonsgegevens: medisch, financieel e.d.), het aantal betrokkenen en de consequenties die het lek heeft voor de betrokkenen.
Wilt u meer weten over de voorwaarden rondom het wel of niet melden van een datalek? Lees dan de Guidelines on Personal data breach notification van de Europese toezichthouders.
Binnen welke termijn moet een melding gemaakt worden?
De verwerker dient ‘zonder onredelijke vertraging’ aan de verwerkingsverantwoordelijke te melden zodra hij kennis heeft genomen van een datalek.
De verwerkingsverantwoordelijke dient ook zonder onredelijke vertraging, maar uiterlijk binnen 72 uur na kennisname van een datalek een melding aan de AP te doen. ”Na kennisname van een datalek”, betekent dat een organisatie eerst tijd mag nemen om vast te stellen of een lek in de beveiliging daadwerkelijk een datalek heeft veroorzaakt. Indien het niet mogelijk is om alle informatie - die benodigd is bij het melden van een datalek – in een keer te verstrekken, kan de informatie ook in delen worden verstrekt.
Vanwege de korte doorlooptijden is het verstandig om een protocol datalekken te hebben. Zodat uw organisatie snel en adequaat kan handelen bij een datalek.
Wat gebeurt er als je geen melding maakt, terwijl dit wel nodig was?
Onrechtmatig niet melden van een datalek kan uw organisatie duur komen te staan. Er staan onder de AVG administratieve geldboetes op tot 10 miljoen euro of tot 2% van de totale wereldwijde omzet in het voorgaande boekjaar, als deze meer bedraagt dan de genoemde 10 miljoen euro.
Wat is er met de komst van de AVG veranderd?
Zoals gezegd is de meldplicht datalekken onder de AVG blijven bestaan. De voornaamste verandering is de documentatieplicht. Organisaties moeten alle datalekken documenteren, ongeacht of er wel of geen meldplicht is. Met deze documentatie moet de AP kunnen controleren of een verwerkingsverantwoordelijke aan de meldplicht datalekken heeft voldaan.
Heeft u een datalek of wilt u dit juist voorkomen?
Wilt u meer weten over het voorkomen of melden van datalekken? Wij helpen u graag verder. Neem contact op met een van onze ICT-juristen via 010 2290 646.
Ontvang onze blogs in uw mailbox
Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.