Datalekken; hoe voorkomt u boetes van de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens (AP) sluit niet uit dat zij dit jaar nog boetes zal gaan uitdelen voor het overtreden van de Algemene verordening gegevensbescherming (AVG). Dit liet een woordvoerder van de AP eerder dit jaar weten. De kans bestaat dat deze boetes te maken zullen hebben met het niet naleven van de verplichtingen rondom datalekken. Wilt u een hoge boete voorkomen? Zorg er dan voor dat u de verplichtingen rondom datalekken goed naleeft! Wat moet u hiervoor doen?
Zorg voor een register datalekken
Iedere organisatie die persoonsgegevens verwerkt, moet op basis van de AVG beschikken over een register datalekken. Dit is een intern register waarin alle datalekken worden bijgehouden.
Om tot een goed register te komen, moet de volgende informatie per datalek worden bijgehouden:
- de feiten en gegevens over de aard van het datalek;
- de categorieën van de getroffen betrokkenen en persoonsgegevens en indien mogelijk het aantal betrokkenen;
- de gevolgen van het datalek;
- de genomen maatregelen om het datalek aan te pakken en in het vervolg te voorkomen
- of het datalek wel of niet is gemeld aan de Autoriteit Persoonsgegevens inclusief motivering;
- of het datalek wel of niet is gemeld aan de betrokkene(n) inclusief motivering.
Maak een beleid voor datalekken en informeer uw werknemers
Om ervoor te zorgen dat de verplichtingen rondom datalekken worden nageleefd, moeten strakke regels gelden. Regels die bij alle werknemers bekend zijn. Geadviseerd wordt daartoe een beleid op te stellen. In het beleid ligt onder meer vast:
- wat een datalek is;
- bij wie, hoe en wanneer een datalek moeten worden gemeld;
- wie beslist of het datalek wordt gemeld bij de AP en of de betrokkene wordt geïnformeerd over het datalek. En
- door wie en hoe het datalek wordt geregistreerd in het register datalekken.
Uit het verkennende onderzoek dat de AP dit jaar uitvoerde, blijkt dat de meeste bedrijven niet beschikken over strakke regels omtrent een datalek. Het AP legde vorig jaar aan Uber al een boete op van € 600.000,00 (!) omdat zij de AP en betrokkenen niet binnen 72 uur na het ontdekken van het datalek had geïnformeerd.
Ga op de juiste manier om met datalek meldingen van werknemers
Tot slot moet u ervoor zorgen dat een melding van een datalek op de juiste manier wordt opgepakt. In dat kader dient u de volgende stappen te volgen als een werknemer zich meldt met een mogelijk datalek:
Stap 1: Controleer of er inderdaad sprake is van een datalek;
Stap 2: Zo ja, registreer het datalek in het register datalekken en neem waar nodig corrigerende en preventieve maatregelen;
Stap 3: Ga na of u het datalek dient te melden aan de AP en/of betrokkene(n) en zorg voor tijdige melding.
Advies omtrent AVG en vastlegging datalekken
Wil u meer weten over de manier waarop u met datalekken dient om te gaan of wilt u hulp bij het opstellen van een beleid, neem gerust contact op met mij of een van de overige specialisten op het gebied van privacyrecht en AVG. Wij adviseren u graag.