Datalek melden onder de AVG

Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Dit is niet alleen het geval bij inbraak in een databestand (hacken), ook een kwijtgeraakte usb-stick, een gestolen laptop, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.

Meldplicht datalekken

Samengevat geldt voor het melden van datalekken het volgende:

  • Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur na ontdekking, melden aan de Autoriteit Persoonsgegevens. Lukt dat niet binnen 72 uur,  dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
  • Betrokkene moet ook worden geïnformeerd wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden. Dat stelt hem in staat eventuele voorzorgsmaatregelen te treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
  • Een melding aan betrokkene is niet nodig wanneer maatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk zijn voor onbevoegden, zoals versleuteling. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of wanneer de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).
  • In de AVG is vastgelegd wat in de melding aan de Autoriteit Persoonsgegevens en aan eventuele betrokkenen in ieder geval omschreven moet worden. Dit blijkt ook uit het meldingsformulier dat via de website van de Autoriteit Persoonsgegevens moet worden ingevuld. Het zou kunnen zijn dat niet alle informatie gelijktijdig verstrekt kan worden. In dat geval is het mogelijk de informatie in stappen te verstrekken (artikel 33 AVG).
  • Een verwerkingsverantwoordelijke is verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Autoriteit Persoonsgegevens in staat naleving van de AVG te controleren.

Boetes

De Autoriteit Persoonsgegevens heeft de bevoegdheid boetes op te leggen. Deze kunnen in het uiterste geval oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding. Bij het opleggen van boetes moet de Autoriteit Persoonsgegevens rekening houden met onder andere de aard, de ernst en de duur van de inbreuk. Ook de vraag of de inbreuk op de AVG opzettelijk heeft plaatsgevonden dan wel of sprake is van nalatigheid speelt een rol.

Vragen of ondersteuning?

Heeft u vragen over de beveiliging van persoonsgegevens, wilt u laten beoordelen of sprake is van een datalek dan wel wilt u ondersteuning tijdens een onderzoek dat de Autoriteit Persoonsgegevens bij u uitvoert? Wij helpen u graag bij vragen. Mail ons of bel: 079 - 3631919.

Advies nodig?

Bel ons: 079-3631919 of stuur een mail. Wij helpen u graag.

Ontvang ons cursusaanbod

Volg ons op social media

Gerelateerde referentieprojecten

Regiovervoer: verwerkingsverantwoordelijken en verwerkers

Regiovervoer: verwerkingsverantwoordelijken en verwerkers

Diverse gemeenten die met elkaar deelnemen in een gemeenschappelijke regeling, organiseren gezamenlijk het vraagafhankelijk vervoer. Daarbij zijn betrokken een beheerder van de database met daarin persoonsgegevens van de burgers die recht hebben op het vraagafhankelijk…
Verwerker of verwerkingsverantwoordelijke?

Lastige vragen binnen een gemeenschappelijke regeling: verwerker of verwerkingsverantwoordelijke?

Een gemeenschappelijke regeling met de constructie waarbij de deelnemers taken uitvoeren voor de gemeenschappelijke regeling, worstelt met de vraag of de deelnemers als verwerker van de gemeenschappelijke regeling moeten worden beschouwd en enkele andere vragen…
Privacy: publicatie namenlijst medewerkers in kantine

Privacy: publicatie namenlijst medewerkers in kantine

Een organisatie overweegt ieder kwartaal in de kantine een lijst op te hangen van medewerkers die het voorgaande kwartaal niet ziek zijn geweest. De organisatie vraagt zich af of het publiceren van zo’n lijst past…

Ontvang onze publicaties

Volg ons op social media