Procedure datalek melden

Procedure datalek melden

We hopen natuurlijk dat het nooit gebeurt, maar het kan zijn dat je te maken krijgt met een datalek. Een datalek wil zeggen dat er vanuit of binnen het netwerk persoonsgegevens op straat zijn gekomen, door onbevoegden zijn ingezien of verloren zijn gegaan. De eerste reactie bij een vermoeden van een datalek bestaat uit 3 stappen. Deze 3 stappen willen we hieronder doorlopen. Deze stappen gelden volgens de AVG. De wet bepaalt dat ‘ernstige’ datalekken zonder onnodige vertraging bij de toezichthouder gemeld moeten worden door de verwerkingsverantwoordelijke.

q
Beoordeel of er echt sprake is van een datalek.
Er is sprake van een datalek als door een inbreuk op de beveiliging, vertrouwelijke gegevens verloren kunnen zijn gegaan. Of als niet uitgesloten is dat deze door onbevoegden zijn verwerkt, binnen of buiten de beschermde omgeving van de service provider.
Voorbeelden: een USB-stick of pc op straat, inbreuk door een hacker, diefstal van dossiers, fout van een medewerker. Ook kan een andere partij of gegevensbewerker melden dat er gegevens zijn gelekt.
q
Beoordeel of je het lek moet melden bij de Autoriteit Persoonsgegevens (AP)
Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. Je hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens. Gaat het om persoonsgegevens van gevoelige aard, of is er om een andere reden sprake van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?
Je moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72uur na de ontdekking van het datalek.
q
Beoordeel of je de betrokkenen moet informeren over het lek
De wet geeft aan dat je een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
Je melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld, een gelekt wachtwoord te vervangen.