Hoe meld je een datalek?

Datalek melden volgens AVG

Wat een datalek is, staat niet concreet in de AVG. De AVG noemt een datalek een ‘inbreuk in verband met persoonsgegevens’. Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

Ook als je alles goed op orde denkt te hebben, kunnen er alsnog persoonsgegevens kwijtraken. Ze kunnen ook op een verkeerde plek terecht komen. Of ze zijn beschikbaar voor onbevoegden. Denk aan een mailtje aan een verkeerde ontvanger of een verloren datadrager. Of natuurlijk een hack van buitenaf. De AVG bevat bepalingen waarin staat wanneer je iets moet melden over een datalek aan de Autoriteit Persoonsgegevens en betrokkenen. Dit moet snel gebeuren. Het is dus van belang dat je zelf een protocol klaar hebt liggen voor het geval je te maken krijgt met een datalek. Ook is het noodzakelijk om met je verwerkers af te spreken dat zij jou ook snel datalekken of beveiligingsincidenten melden.

Wat moet je melden?

Bij een melding moet je ten minste het volgende omschrijven of mededelen:

• de aard van de inbreuk in verband met persoonsgegevens. Meld waar mogelijk de categorieën van betrokkenen en persoonsgegevensregisters in kwestie. Meld ook bij benadering het aantal betrokkenen en persoonsgegevensregisters in kwestie;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming. Je mag ook een ander contactpunt melden waar meer informatie kan worden verkregen;
• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
• de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken. Hieronder valt in voorkomend geval de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Soms is het niet mogelijk om alle informatie gelijktijdig te verstrekken. Dan mag de informatie in stappen worden verwerkt, mits er geen sprake is van onredelijke vertraging.

Datalek melden of niet?

Belangrijk om te weten is dat je een datalek niet hoeft te melden indien het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en verplichtingen voor betrokkenen. Dit is dus een afweging die je zelf moet maken. Daarom is het ook zo belangrijk om privacy-by-design te hebben toegepast. Want door het nemen van de juiste maatregelen voorafgaand aan de verwerking beperk je risico’s, ook risico’s in geval van een datalek!

Let wel op dat je alle datalekken (feitelijk alle beveiligingsinbreuken) documenteert. Dat geldt voor zowel de feiten inzake de persoonsgegevens, de gevolgen van het datalek als voor de corrigerende maatregelen. Dit is een verplichting uit de AVG. De Autoriteit Persoonsgegevens kan de documentatie opvragen om te checken hoe er omgegaan is met bepaalde datalekken, of deze nu gemeld zijn of niet.

Meldplicht aan betrokkene

Met betrekking tot de meldplicht aan betrokkenen bepaalt de AVG dat dit zo spoedig mogelijk door jouw organisatie aan de betrokkene(n) gemeld moet worden. Dit geldt als er sprake is van een datalek dat waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt,

De melding aan betrokkene bevat een omschrijving (in duidelijke en eenvoudige taal) van:

• de aard van de inbreuk in verband met persoonsgegevens;
• de contactgegevens van de persoon die binnen jouw organisatie aanspreekpunt is op dit onderwerp;
• de waarschijnlijke gevolgen van het datalek;
• en de maatregelen die je hebt getroffen of wilt gaan treffen om het datalek aan te pakken.

Hulp nodig?

De IT-Jurist helpt jou of je organisatie graag te voldoen aan de regelgeving inzake datalekken en andere verplichtingen uit de AVG. Wij beantwoorden al je vragen hierover. We kunnen je ook helpen met het daadwerkelijk opstellen of reviewen van protocollen en andere documenten. Neem gerust contact met ons op!