De European Data Protection Board (EDPB) heeft nieuwe guidelines opgesteld over datalekmeldingen. Deze guidelines helpen organisaties bij de maatregelen die ze moeten nemen in het geval van een datalek.

De nieuwe guidelines zijn in aanvulling op de algemene richtlijnen over datalekken. Het voorstel kunt u vinden op de site van de EDPB.

Wat is een datalek?

Heeft een kwetsbaarheid in uw beveiliging geleid tot vernietiging, verlies of wijziging van persoonsgegevens? Of is er sprake van verstrekking of toegang tot persoonsgegevens zonder dat dit de bedoeling was?

Dan is er sprake van een datalek.

Ook als je de onrechtmatige verwerking van persoonsgegevens redelijkerwijs niet kunt uitsluiten, spreken we van een datalek.

Verschillende categorieën datalekken

In de guidelines zijn veel voorkomende soorten datalekken opgenomen. Denk hierbij aan:

  • ransomware-aanvallen;

  • kwijtgeraakte of gestolen apparatuur;

  • e-mails die per ongeluk zijn verzonden aan een onjuiste ontvanger;

  • data exfiltratie;

  • identiteitsfraude;

  • ongeoorloofd gebruik van bedrijfsdata door een ex-werknemer.

datalek guidelines

Per categorie wordt aan de hand van concrete praktijkcases een situatie geschetst. Bijvoorbeeld ‘ransomware zonder degelijke back-up’ of ‘onbedoelde overdracht van gegevens naar een vertrouwde derde partij’.

Vervolgens staat aangegeven welke maatregelen een organisatie van tevoren had kunnen/moeten nemen in het kader van risicomanagement. Daarnaast staat vermeld welke maatregelen de organisatie na het desbetreffende incident moet nemen om de mogelijk schadelijke gevolgen te beperken.

Ook is er per type datalek aangegeven op welke wijze organisaties de risico’s het beste kunnen beoordelen. Er staat vermeld of en zo ja wanneer de toezichthouder op de hoogte moeten worden gesteld van het datalek en in welke gevallen ook de betrokkenen moeten worden geïnformeerd.

Meer weten over de meldplicht datalekken?

De nieuwe guidelines zijn zoals gezegd een aanvulling op de bestaande richtlijnen. Ze verduidelijken deze verder. Wilt u weten hoe de meldplicht datalekken werkt? Wanneer u een datalek wel of niet moet melden? Lees dan onze blog: Datalek: wat nu?

Consultatie

De nieuwe guidelines zijn nog niet definitief. Tot 2 maart 2021 kan er commentaar geleverd worden via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve guidelines vast.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.