Sinds 1 januari 2016 bestaat de meldplicht voor datalekken. Kort gezegd houdt dit in dat u een geconstateerd datalek binnen 72 uur gemeld dient te melden aan de Autoriteit Persoonsgegevens. Er is sprake van een datalek indien een beveiligingsinbreuk heeft plaatsgevonden of er zich een incident heeft voorgedaan waarbij persoonsgegevens verloren zijn gegaan, gedeeld en/of toegankelijk zijn voor onbevoegden, zonder reden gewijzigd en onrechtmatig verwerkt zijn.

Deze inbreuken kunnen zich op verschillende wijzen voordoen. Dat impliceert dan ook dat er al heel snel sprake kan zijn van een datalek. Als u bijvoorbeeld per abuis een e-mail verstuurd met persoonsgegevens van een betrokkene naar een verkeerd e-mail adres van iemand die niet bevoegd is, zal er al sprake van een datalek zijn. Of als u een a4’tje in de printer laat liggen waar persoonsgegevens op staan. Het lijkt misschien onschuldig, maar kan nadelige gevolgen hebben.

Dit hoeft niet direct te betekenen dat het datalek ook gemeld moet worden. Sommige datalekken zijn van zeer geringe aard, waardoor de kans op nadelige gevolgen nihil is. De AVG heeft overigens wel als extra eis dat alle inbreuken op de beveiliging waarbij persoonsgegevens betrokken zijn intern gedocumenteerd moeten worden. Het kan dan ook zo zijn dat persoonsgegevens toegankelijk zijn voor onbevoegden, maar dat er geen risico bestaat waardoor een melding aan de Autoriteit Persoonsgegevens achterwege kan blijven. Denk bijvoorbeeld aan gegevens die al elders openbaar toegankelijk zijn of gegevens die encrypted zijn en derhalve niet te begrijpen voor onbevoegden.

Voor een correcte afhandeling van datalekken is het van belang dat iedereen die binnen de organisatie werkzaam is, weet welke stappen er ondernomen moet worden. Zij dienen zich bewust te zijn van de ernst en de mogelijke consequenties van het datalek. Dit bewustzijn is enkel te bereiken door een uniform beleid te hanteren voor het afhandelen van deze datalekken.

Voor organisaties is het dus belangrijk dat zij een intern protocol opstellen hoe het personeel dient te handelen bij het constateren van een inbreuk op de beveiliging. Een protocol voor datalekken biedt organisaties houvast. Een dergelijk protocol is geen wettelijke verplichting, maar wel een middel om de wettelijke verplichtingen van de AVG te waarborgen. Aan de hand van het datalekken protocol kan worden vastgesteld of een beveiligingsinbreuk een datalek tot gevolg heeft en wat de omvang daarvan is. Ook kan worden vastgesteld of de Autoriteit Persoonsgegevens en de betrokkenen ingelicht moeten worden.

Heeft uw organisatie nog geen beleid voor het afhandelen van datalekken? Weet u niet zeker of uw organisatie een datalek heeft? Neem contact op met AVG Juristen. Onze juristen staan klaar om uw organisatie te adviseren en begeleiden bij datalekken. Tevens bieden wij een datalekken protocol aan dat direct in uw organisatie geïmplementeerd kan worden.

Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.