Datalekken

Bij een datalek komen er persoonsgegevens vrij zonder dat dit de bedoeling was. Een datalek kan ernstige gevolgen hebben voor de personen van wie gegevens zijn gelekt, maar ook voor jouw organisatie. Denk aan identiteitsfraude, financiële schade, verlies van vertrouwen en zelfs hoge boetes.

Van een datalek kan sprake zijn bij bijvoorbeeld:

het verlies van een USB-stick met klantgegevens;
het versturen van e-mails met gevoelige informatie naar de verkeerde ontvanger;
ongeautoriseerde toegang tot personeelsgegevens;
een cyberaanval die toegang verschaft tot bedrijfsgevoelige data.

Vanwege de grote gevolgen die datalekken kunnen hebben, is het cruciaal om snel en correct te handelen. Alles om de impact van een datalek te beperken en verdere schade te voorkomen.

Verplichtingen datalekken

In de Algemene verordening persoonsgegevens zijn alle verplichtingen rondom datalekken opgenomen. Natuurlijk probeer je datalekken zoveel als mogelijk te voorkomen maar je ontkomt er niet aan dat ook jouw organisatie wordt getroffen door een datalek. Als dat het geval is, heeft jouw organisatie de volgende verplichtingen.

Datalek melden en betrokkenen informeren

Belangrijk is dat je weet wat je dan moet doen. Natuurlijk moet je proberen het datalek te stoppen en de schade te beperken. In sommige gevallen heb je de verplichting om het datalek te melden bij de Autoriteit Persoonsgegevens. Of melding moet plaatsvinden, hangt af van de ernst van het datalek. In bepaalde gevallen moet je ook de betrokkenen – dit zijn de personen van wie de persoonsgegevens worden verwerkt – op de hoogte stellen van het datalek. De melding aan de Autoriteit Persoonsgegevens moet binnen 72 uur na ontdekking van het lek plaatsvinden.

Datalekken documenteren

Naast deze meldplicht, heeft jouw organisatie de verplichting om alle datalekken te documenteren. Niet alleen moet je bijhouden welke datalekken zich allemaal binnen jouw organisatie hebben voorgedaan, ook moet je onder andere de feiten over het datalek, de gevolgen daarvan en de genomen corrigerende maatregelen vastleggen.

Als je zeker wilt weten dat jouw organisatie voorbereid is en voldoet aan de wet, dan is het verstandig om je te laten begeleiden door een privacyrecht advocaat bij het opstellen van een effectief datalekkenbeleid en het volgen van de juiste procedure.

Procedure datalekken: wat te doen bij een datalek?

Een duidelijk protocol voor datalekken helpt jouw organisatie om snel en efficiënt te reageren en verdere schade te beperken. Alle werknemers moeten immers weten hoe er gehandeld moet worden bij een datalek. Dit alleen al vanwege de 72-uurstermijn die geldt bij veel datalekken. Dit zijn de belangrijkste stappen:

Datalekken checken: Stel vast of er sprake is van een datalek, beoordeel de ernst en risico’s. Zorg er daarnaast waar nog nodig voor dat het lek zo snel mogelijk stopt en/of neem risicobeperkende maatregelen.
Melden aan de Autoriteit Persoonsgegevens: Check of de datalek gemeld moet worden bij de AP. Zo ja, doe dit via het online meldingsformulier van de Autoriteit Persoonsgegevens binnen 72 uur.
Informeren van betrokkenen: Als het lek een hoog risico vormt voor de betrokkenen, moet je hen direct informeren.
Maatregelen nemen: Neem preventieve maatregelen om herhaling te voorkomen.
Documenteren: Leg alle details over het datalek vast in een datalekregister, zoals de aard van het lek, de omvang en de getroffen gegevens.

Een goed datalekkenprotocol helpt je om snel te handelen en de impact van een incident te beperken.

datalek melden bij autoriteitr persoonsgegevens

Wat moet JE melden bij de Autoriteit Persoonsgegevens?

Bij het melden van een datalek aan de Autoriteit Persoonsgegevens moet je onder meer de volgende informatie verstrekken:

De aard van het lek, bijvoorbeeld verlies, diefstal of ongeoorloofde toegang.
Het aantal getroffen personen en de typen gegevens.
De mogelijke gevolgen van het datalek.
De genomen maatregelen om de impact te beperken.

WAAROM ONZE PRIVACYRECHT ADVOCATEN INSCHAKELEN?

Met een goed beveiligingsbeleid en een helder protocol voor datalekken kun je veel risico’s voorkomen. Wij adviseren je hier graag over. Natuurlijk zijn wij er ook voor je als er onverhoopt sprake is van een datalek. Want in dat geval komt er nogal wat op je af en tikt de tijd vaak snel weg. Wij kunnen helpen bij eventuele meldingen aan de Autoriteit Persoonsgegevens en betrokkenen, en kunnen ervoor zorgen dat het datalek op de juiste manier geregistreerd wordt. Weet je niet zeker of een melding nodig is? Bel ons dan ook! Natuurlijk kunnen wij jou daarover adviseren.

Heeft jouw organisatie een boete ontvangen van de Autoriteit Persoonsgegevens of ben je op de hoogte gebracht van een voornemen tot boeteoplegging omdat een datalek ten onrechte niet of te laat is gemeld? Wij ondersteunen je graag bij het indienen van jouw zienswijze of het aantekenen van bezwaar tegen deze boete.