Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Dit is niet alleen het geval bij inbraak in een databestand (hacken), ook een kwijtgeraakte usb-stick, een gestolen laptop, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.
Meldpunt datalek |
---|
Omdat een datalek binnen 72 uur moet worden gemeld bij de Autoriteit Persoonsgegevens is snel en adequaat handelen essentieel. Wij nemen u dit helemaal uit handen met onze service meldpunt datalek. |
Meldplicht datalekken
Samengevat geldt voor het melden van datalekken het volgende:
- Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur na ontdekking, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet binnen 72 uur, dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
- Betrokkene moet ook worden geïnformeerd wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden. Dat stelt hem in staat eventuele voorzorgsmaatregelen te treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
- Een melding aan betrokkene is niet nodig wanneer maatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk zijn voor onbevoegden, zoals versleuteling. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of wanneer de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
- In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval omschreven moet worden. Dit blijkt ook uit het meldingsformulier dat via de website van de Autoriteit Persoonsgegevens moet worden ingevuld. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG).
- Een verwerkingsverantwoordelijke is verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.
Boetes
De Autoriteit Persoonsgegevens heeft de bevoegdheid boetes op te leggen. Deze kunnen in het uiterste geval oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding. Bij het opleggen van boetes moet de Autoriteit Persoonsgegevens rekening houden met onder andere de aard, de ernst en de duur van de inbreuk. Ook de vraag of de inbreuk op de AVG opzettelijk heeft plaatsgevonden dan wel of sprake is van nalatigheid speelt een rol.
Advies en ondersteuning
Vijverberg adviseert organisaties bij het melden en afhandelen van datalekken. Ook ondersteunen wij organisaties tijdens een onderzoek dat de Autoriteit Persoonsgegevens bij u uitvoert. Wij helpen u graag. Mail ons of bel: 079 - 3631919.