Ga direct naar de inhoud.

Voldoet u op alle punten aan de AVG?

Wat doet u met een datalek?

Organisaties zijn verplicht de door hen verzamelde persoonsgegevens afdoende te beschermen tegen inbreuken. Vooruitlopend op de komst van de AVG, de Algemene Verordening Gegevensbescherming, heeft de wetgever al per 1 januari 2016 nadere regels gesteld aan organisaties bij datalekken. Maar wanneer is er sprake van een datalek en wat wordt er van u verwacht als u een datalek aantreft? In het onderstaande artikel leest u welke waarborgen u dient te bieden.

Wat kan NewBaze voor u betekenen bij gegevensbescherming?

Wilt u een goede balans tussen een gedegen privacybescherming en een up to date informatieverwerking voor uw organisatie? Dan kan NewBaze u ondersteunen bij:

  • het inventariseren van de specifieke verplichtingen van uw organisatie op grond van de AVG;
  • het inventariseren en vaststellen van de bewaartermijnen van privacygevoelige informatie;
  • het uitvoeren van een privacy impact assessment;
  • het opstellen van een register van verwerkingen;
  • het opstellen van een protocol meldplicht datalekken;
  • het opstellen van een privacy protocol en privacy statement, specifiek afgestemd op de activiteiten van uw organisatie; 
  • het opstellen van verwerkersovereenkomsten.

Heeft u behoefte aan een dergelijke ondersteuning? Of heeft u meer vragen over de AVG? Neem dan vrijblijvend contact op met mr. Sandra Verberk-Elich op sandra.verberk@newbaze.nl of bel 078-200 13 14.

Wanneer heeft u te maken met datalek?

Er is sprake van een datalek als persoonsgegevens terecht komen bij derden, die geen toegang tot die gegevens zouden mogen hebben, dan wel wanneer deze persoonsgegevens onbedoeld zijn vernietigd, gewijzigd of verplaatst. Vaak gaat het om uitgelekte computerbestanden, maar ook fysieke dossiers of lijsten met persoonsgegevens kunnen bij onbevoegden terechtkomen of door brand worden verwoest. Bij een hacker die zich de toegang heeft verschaft tot privacygevoelige informatie en bij het verlies of diefstal van een laptop of usb-stick met persoonsgegevens is er eveneens sprake van een datalek.

Zelfs het versturen van een nieuwsbrief per e-mail, waarin de e-mails van alle andere geadresseerden zichtbaar zijn (omdat zij per abuis niet in de bcc maar in de cc zijn verzonden), valt onder de ruime definitie van het begrip datalek. Immers, e-mailadressen zijn ook persoonsgegevens, die door een beveiligingsfoutje aan onbevoegde derden kenbaar zijn gemaakt.

De gegevens die bij een onbevoegde terecht is gekomen of kan komen, moeten wel persoonsgegevens betreffen. De diefstal van uw geheime marketingstrategie of ontvreemding van een lijst met bedrijfsnamen uit uw crm pakket vallen niet onder de gangbare definitie van datalek.

Op welk moment moet u een datalek melden?

Het datalek moet worden gemeld als aan drie voorwaarden is voldaan:

• Er is sprake van een inbreuk op de beveiliging van persoonsgegevens;
• De inbreuk moet zich voordoen bij een publieke of private organisatie;
• De inbreuk leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens, met andere woorden: de inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens, dan wel een gerede kans daarop.

Niet elk datalek hoeft te worden gemeld. Alleen die inbreuken waarvan redelijkerwijs kan worden aangenomen, dat die leiden tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens. Deze ‘ernstige’ datalekken moet u binnen 72 uur na de ontdekking melden bij de Autoriteit Persoonsgegevens (art. 33 AVG).

Een lek kan ernstig zijn als het een grote hoeveelheid data betreft, maar ook als het om gevoelige gegevens gaat, zoals bijvoorbeeld:
• inloggegevens;
• financiële gegevens;
• kopieën van identiteitsbewijzen;
• school- of werkprestaties;
• gegevens die betrekking hebben op levensovertuiging;
• gegevens die betrekking hebben op gezondheid.

Hoe moet u een datalek melden?

Op de website van de Autoriteit Persoonsgegevens kunt u via het meldloket online uw datalek melden. Deze melding wordt niet openbaar gemaakt.

Heeft het datalek nadelige gevolgen voor de persoonlijke levenssfeer van de personen, van wie de gegevens zijn gelekt, dan dient u het datalek ook aan de betrokken personen zelf te melden (art. 34 AVG). Hierbij moet u denken aan bijvoorbeeld identiteitsfraude of reputatieschade. U hoeft het datalek aan de betrokkenen niet te melden als de gelekte persoonsgegevens onleesbaar zijn (bijvoorbeeld door encryptie) of als deze ontoegankelijk zijn voor onbevoegde personen (bijvoorbeeld wanneer u de data op een gestolen laptop op afstand kunt wissen).

Een verwerkingsverantwoordelijke is ook verplicht alle inbreuken te registreren, inclusief de omstandigheden rondom de inbreuk, de gevolgen daarvan en de genomen correctiemaatregelen (artikel 33 lid 5 AVG).

Als u een datalek heeft gemeld, betekent dit niet dat u hiermee bent gevrijwaard van alle aansprakelijkheid voor schade. De melding ontslaat u niet van de verplichting de eventuele schade als gevolg van het datalek, dat aan uw handelen of nalaten kan worden toegerekend, te vergoeden.

Wat gebeurt er als u niet voldoet aan de meldplicht datalekken?

De Autoriteit Persoonsgegevens kan u onder meer een boete opleggen, indien u:

• een datalek niet meldt, terwijl dat wel moet;
• uw beveiliging van persoonsgegevens niet op orde heeft;
• persoonsgegevens verwerkt zonder toestemming;
• persoonsgegevens exporteert naar landen buiten de EU in strijd met de regels.

De boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van uw organisatie per overtreding. Vaak zal er eerst een waarschuwing gegeven worden, maar de toezichthouder mag besluiten direct een boete op te leggen als u opzettelijk of grof nalatig heeft gehandeld.

Wilt u meer weten over datalekken?

Twijfelt u of u een datalek moet melden, of heeft u vragen over het vastleggen van afspraken met degenen die toegang hebben tot de door u verzamelde persoonsgegevens? Vraag een offerte aan voor ons advies over de juridische beveiliging van uw persoonsgegevens. 

Meer informatie

Met een datalek-audit door NewBaze:

  • Kent u uw datalekrisico's en uw rechtspositie
  • Krijgt u ondersteuning bij het opstellen van protocollen
  • Houdt u grip op uw datalekrisico's door passende maatregelen
  • Heeft u tools om u te behoeden voor nieuwe valkuilen in uw organisatie
  • Maken wij vooraf heldere afspraken over de kosten
×
NewBaze.nl maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden.
Lees meer over cookies