Melden van datalekken en een “meldingsformulier datalekken”

Waar komt het melden van datalekken vandaan?

Het melden van datalekken is echt actueel geworden vanaf 25 mei 2018. Vanaf deze datum is namelijk de AVG (Algemene Verordening Gegevensbeheer) van toepassing geworden in de EU. De AVG vervangt de verouderde Nederlandse Wet bescherming persoonsgegevens (Wbp) en heeft als doel de persoonsgegevens van jou en van mij beter te beschermen en die bescherming in de gehele EU gelijk te trekken.

Onderdeel van de AVG (maar in het verleden ook van de Wbp) is het melden van datalekken van persoonsgegevens binnen 72 uur nadat dit is geconstateerd.

Wat zijn nu persoonsgegevens?

Persoonsgegevens zijn gegevens van een geïdentificeerd of identificeerbaar persoon. Een persoon is identificeerbaar wanneer zijn identiteit redelijkerwijs, en zonder grote moeite, vastgesteld kan worden. Denk hierbij aan de volgende gegevens: naam en adresgegevens, emailadressen, geboortedatum, bankrekeningnummers en alle andere informatie die naar een persoon leidt.

Naast de ‘gewone’ persoonsgegevens zijn er ook nog bijzondere of gevoelige persoonsgegevens. Dit zijn bijvoorbeeld: kopie ID, BSN-nummer, gezondheid, ras, geaardheid, schulden, salaris- en betaalgegevens en inloggegevens (gebruikersnamen en wachtwoorden).

Wat is nu een datalek?

Een datalek is elke situatie waarin:

1. Persoonsgegevens ‘verloren’ zijn gegaan bij een beveiligingsincident. Verloren houdt in dat je de persoonsgegevens niet meer hebt. De persoonsgegevens zijn vernietigd of op een andere manier verloren gegaan bij het incident, en je beschikt niet over een reservekopie van de gegevens.

2. Persoonsgegevens mogelijk onrechtmatig zijn ‘verwerkt’. Wanneer onrechtmatige verwerking (aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking van de persoonsgegevens) niet kunt uitsluiten, dan dien je de inbreuk te beschouwen als een datalek.

Voorbeelden van een datalek

• Verlies of diefstal van USB-stick, laptop, telefoon of papieren dossiers
• Meer informatie verspreiden aan meer mensen dan strikt noodzakelijk
• Foute adressering e-mail en/of alle geadresseerden in de cc
• Fouten in software, bij installatie e.d. waardoor persoonsgegevens hebben open gestaan voor derden.

De procedure bij het constateren van een datalek van persoonsgegevens

Wanneer je een mogelijke datalek hebt ontdekt, dien je dit direct (per mail of telefoon) te melden bij de interne “privacy” verantwoordelijke. Als je niet helemaal zeker weet of er sprake is van een datalek van persoonsgegevens, moet je het ook melden, want het niet (juist en tijdig ) melden van een datalek kan een aanzienlijke boete betekenen voor de organisatie.

De interne “privacy” verantwoordelijke neemt de melding vervolgens op, op het formulier: “meldingsformulier datalekken” en registreert op deze manier officieel elke melding van een mogelijke datalek van persoonsgegevens.

Download hier het formulier “Meldingsformulier datalekken”

Beschermen van persoonsgegevens tegen datalekken (preventie)

Naast het maken van melding heeft de organisatie ook de plicht om onderzoek te doen naar de lek en maatregelen te nemen om te voorkomen dat persoonsgegevens (nogmaals) uit kan lekken. Denk hierbij bijvoorbeeld aan het verder beveiligen van laptops, memorysticks, telefoons, server, mail etc.

Meer informatie over het melden van datalekken van persoonsgegevens is te vinden op de volgende website:

• https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
• https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken

Heb je naar aanleiding van het bovenstaande nog vragen over het melden van datalekken, of wil je in het algemeen meer weten over de AVG, neem dan geheel vrijblijvend contact op.