de week van

de week van

Jasper Boer, 15 januari 2018

Hoe gaat u om met datalekken binnen uw organisatie?
Wat is een datalek en hoe gaat u als organisatie om met een datalek? Dit zijn vragen die u voor 25 mei 2018 moet kunnen beantwoorden, dan treedt namelijk de Algemene Verordening Gegevensbescherming (AVG) in werking. Iedere beveiligingsinbreuk in verband met persoonsgegevens moet intern worden vastgelegd en mogelijk worden gemeld aan de Autoriteit Persoonsgegevens (AP) en de getroffen personen.

Wat is een datalek?
In vier gevallen kan gesproken worden van een datalek, namelijk wanneer persoonsgegevens op een onrechtmatige manier zijn:

  • vernietigd of verloren
  • gewijzigd
  • verstrekt
  • toegankelijk gemaakt

Bij een datalek komen persoonsgegevens op plaatsen waar zij niet horen te zijn. Hierbij kan gedacht worden aan de situatie dat een hacker toegang verkrijgt tot servers, maar ook het verlies van uw werktelefoon kan een datalek zijn. Wanneer redelijkerwijs niet kan worden uitgesloten dat er persoonsgegevens onrechtmatig zijn verwerkt is er sprake van een datalek. Verwerken is een zeer ruim begrip waar iedere handeling met persoonsgegevens onder valt.

Melding aan AP 
Wanneer u een datalek geconstateerd heeft hoeft u dit niet altijd te melden. Een melding aan de AP is niet vereist wanneer het niet waarschijnlijk is dat het datalek redelijkerwijs een risico voor de getroffen personen met zich meebrengt. Binnen uw organisatie moet deze afweging gemaakt worden. Wanneer persoonsgegevens van gevoelige aard, waaronder ook bijzondere persoonsgegevens, zijn gelekt is in het algemeen een melding noodzakelijk. De melding aan de AP moet plaatsvinden binnen 72 uur na ontdekking van het datalek.

Melding aan getroffen personen
De getroffen personen bij een datalek hoeven alleen een melding te krijgen wanneer het waarschijnlijk is dat het datalek een hoog risico oplevert voor deze personen. Hierbij kan gedacht worden aan identiteitsdiefstal of financiële verliezen. De getroffen personen moeten onverwijld op de hoogte worden gesteld.

Uw organisatie op orde krijgen
Het is belangrijk om binnen uw organisatie in beeld te brengen hoe omgegaan wordt met datalekken. Maak uw personeel bewust van de mogelijke risico’s en stel een protocol op. Bij niet-naleving van de AVG kunnen getroffen personen namelijk een klacht indienen bij de AP over uw organisatie. Daarnaast is de AP bevoegd om uw organisatie een boete op te leggen.

Heeft u vragen over de inhoud van een datalekprotocol, wat u moet vastleggen bij een geconstateerde beveiligingsinbreuk of wat u moet vermelden in de melding aan de AP en/of getroffen personen? Voor deze en andere privacy gerelateerde vragen kunt u altijd contact opnemen met mij of mijn collega Ruby Nefkens.

Jasper Boer
boer@vandersteenhoven.nl
+31 (6) 433 680 64

 

Contact opnemen met ons?
 

  +31 (0)20 607 79 79
 

  mail@vandersteenhoven.nl