AVG wetDe meldplicht datalekken geldt sinds 1 januari 2016. Wanneer zich een datalek voordoet hebben bedrijven en overheden de plicht dit direct te melden bij de autoriteit persoonsgegevens. In sommige gevallen dient ook een melding te worden gedaan bij de directbetrokkenen (de personen van wie de gelekte persoonsgegevens zijn).

Wat is een datalek?

Een datalek ontstaat wanneer persoonsgegevens toegankelijk worden, vernietigd worden, gewijzigd worden of geheel vrijkomen bij een organisatie, zonder dat hiervoor toestemming is gegeven door de eigenaar van de persoonsgegevens. Het onrechtmatig gebruik van iemands persoonsgegevens kan ernstige schade veroorzaken, zoals bijvoorbeeld imagoschade. Voorbeelden van een datalek zijn een gestolen laptop, of een hack van je bedrijfsgegevens.

 Melden van een datalek in je eigen organisatie

Als organisatie dien je een eigen contactpersoon aan te wijzen bij wie eventuele datalekken gemeld moeten worden. Dit is vaak de Functionaris Gegevensbescherming of een bestuurslid binnen je bedrijf. Wanneer je vermoedt dat er sprake is van een datalek binnen je organisatie, meldt je dit bij je contactpersoon binnen je organisatie. Hij of zij dient vervolgens na te gaan of de lek leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of de kans groot is dat dit gaat gebeuren. De beleidsregels van de autoriteit persoonsgegevens kunnen hierbij helpen om te bepalen of er sprake is van ernstige nadelige gevolgen. Indien de contactpersoon heeft vastgesteld dat het om een datalek gaat, dient hij of zij de datalek te melden bij het meldloket datalekken. Volgens de AVG dien je een datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP). Dit is niet nodig wanneer het onwaarschijnlijk is dat het datalek een hoog risico voor de rechten en vrijheden van de betrokkenen met zich meebrengt. Wanneer je besluit de datalek te melden, dien je ook de betrokkenen hiervan op de hoogte te stellen.

Vermoeden van een datalek bij een andere organisatie

Indien je het vermoeden hebt dat er sprake is van een datalek bij een andere organisatie kun je dit ook melden bij de autoriteit persoonsgegevens door ze een tip te sturen. Het is belangrijk dat je hierbij eerst contact opneemt met de desbetreffende organisatie om ze hiervan op de hoogte te stellen, wel zo netjes natuurlijk!
De autoriteit persoonsgegevens zal de tip onderzoeken en nagaan of de lek al is gemeld door de organisatie zelf. Zo niet dan neemt de AP contact op met de desbetreffende organisatie.

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl