Een datalek is een de situatie waarin:
- per ongeluk of op onrechtmatige wijze persoonsgegevens worden gewist, gewijzigd, verloren of doorgezonden; of
- een onbevoegde toegang heeft gehad tot de persoonsgegevens.
Ook als u niet uit kunt sluiten dat een onbevoegde toegang heeft gehad tot persoonsgegevens is sprake van een datalek. Dat is bijvoorbeeld het geval als u een gegevensdrager bent kwijtgeraakt of als u een bestand met persoonsgegevens per abuis vrij toegankelijk op het internet heeft gezet.
Als u een datalek heeft dan moet u dit documenteren in uw datalekregister. Ook moet u beoordelen of u het datalek moet melden aan de toezichthouder en eventueel aan betrokkene(n). Aanwijzingen voor de beoordeling van een datalek kunt u op de website van de Autoriteit Persoonsgegevens lezen.
Hoe moet ik een datalek melden?
Als het eenmaal zover is dat u een meldplichtig datalek ontdekt heeft dan vliegen de 72 uur die u heeft voor het doen van de melding bij de Autoriteit Persoonsgegevens in rap tempo voorbij. Het is daarom handig om vooraf een datalekprocedure of draaiboek op te stellen. Als uw organisatie niet al te groot is, of als uw dataverzameling zeer beperkt is dan kunt u daarmee “klein” beginnen en het draaiboek bijstellen naar mate u meer ervaring krijgt. Is de organisatie wat complexer of heeft u bijzondere of gevoelige persoonsgegevens in beheer? Dan is het handig om meteen een goede procedure op te stellen.
TIP: onderwerpen om over na te denken en op papier te zetten voorafgaand aan het eerste datalek zijn in ieder geval:
- wie is aanspreekpunt binnen de organisatie bij datalekken (bij wie wordt een datalek of een vermoeden daarvan intern gemeld);
- wie verzamelt relevante informatie over het datalek; wie beoordeelt het datalek en wie is de tweede beoordelaar;
- wie coördineert de afhandeling van de melding; wat u doet met betrekking tot de opvolging van het datalek;
- wie is betrokken bij het eventueel communiceren van het datalek naar betrokkenen of de buitenwereld.
Als een datalek moet worden gemeld dan doet u dat via het online meldformulier van de Autoriteit Persoonsgegevens. Dat formulier vindt u op de website van de Autoriteit Persoonsgegevens.
De 72-uurstermijn voor het melden van een datalek loopt ook door in het weekend en tijdens feestdagen. Voor het niet – of niet tijdig – melden kunt u een boete krijgen.
Het is mogelijk om een voorlopige melding te doen en/of een melding in een later stadium in te trekken. Moet u melden maar heeft u nog niet alle gegevens voor de melding kunnen achterhalen? Doet u dan een voorlopige melding. Deze kunt u achteraf nog aanvullen of intrekken.
Bij de melding moet u een aantal gegevens invoeren. Onze ervaring is dat het webformulier eens in de zoveel keer niet goed werkt. Als dat het geval is bent u uw tekst kwijt en moet u deze opnieuw invoeren. Het is dus handig om de tekst die u in de open invulvelden moet invullen in kopie te bewaren totdat u de bevestiging krijgt dat de melding correct is ingediend.
Het is van belang om de melding (en met name het meldingsnummer) goed op te slaan en/of een print van de melding te bewaren. U kunt uw melding namelijk niet terugzoeken via de site van de AP. U heeft het nummer van de eerste melding nodig als u in een later stadium uw melding zou willen aanvullen, wijzigen of misschien zelfs zou willen intrekken.
In sommige gevallen moet u een datalek melden bij betrokkene(n), bijvoorbeeld klanten of medewerkers. Dit doet u op de meest aangewezen manier. Hierin heeft u enige beoordelingsvrijheid. Is bijvoorbeeld sprake van een datalek met een klein aantal betrokkenen waarbij het erg belangrijk is dat betrokkenen snel op de hoogte zijn? Dan ligt het in de rede dat u telefonisch contact opneemt en de inhoud van het contact nog eens per e-mail bevestigd. Aan het andere einde van het spectrum kan sprake van een datalek met een groot aantal betrokkenen waarbij u niet precies kunt achterhalen welke personen in uw bestanden getroffen zijn door het datalek. Een advertentie in een landelijk dagblad, het uitdoen van een persbericht en het geven van informatie op de website kunnen dan mogelijk het meest aangewezen zijn.
1. Wat is de AVG (Algemene verordening gegevensbescherming)?
2. Wat moet ik concreet doen onder de AVG?
3. Wat is een verwerker? En wat is een verwerkingsverantwoordelijke?
4. Is een register van verwerkingen altijd vereist? En wat moet ik in zo’n register opnemen?
5. Is de AVG van toepassing op ZZP-ers?
6. Welke rechten hebben de personen van wie ik gegevens verwerk onder de AVG?
7. Wat zijn persoonsgegevens? En wat zijn bijzondere persoonsgegevens?
8. Wat is een datalek en hoe moet ik een datalek melden?
9. Als ik een datalek meldt, staat de toezichthouder (Autoriteit Persoonsgegevens) dan direct bij me op de stoep?
10. Wat moet ik opnemen in een datalekregister?
Neem contact op