Nieuws

De AVG – Eerste hulp bij datalekken

De Algemene Verordening Gegevensbescherming (AVG) stelt dat een datalek binnen 72 uur gemeld moet worden bij de Autoriteit Persoonsgegevens (AP). Maar wat is die meldplicht precies, hoe weet u óf u moet melden en aan wie meldt u dan? Of het nou een crimineel is die digitaal jouw gegevens gijzelt met ransomware, of een werknemer die onzorgvuldig is: data kan op verschillende manieren op straat komen te liggen. En dan is actie en spoed geboden om boetes te voorkomen.

De meldplicht datalekken is neergelegd in de AVG en bestaat uit twee verplichtingen. De eerste verplichting is het melden van het datalek aan de AP. Die melding moet binnen 72 uur gemeld worden nadat de verantwoordelijke onderneming met het datalek bekend is geworden. De tweede verplichting is het melden aan de mensen waarvan de persoonsgegevens zijn gelekt (de betrokkenen). Het melden aan de betrokkenen moet zo snel mogelijk, alhoewel de AVG niet geen wettelijke termijn kent.

De meldplicht bestaat dus bij een datalek. Dan is de logische vervolg vraag: wat is een datalek en moet die altijd worden gemeld? De AVG spreekt van een datalek in het geval van ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Hieraan voegt u toe de beoordeling in hoeverre het ‘waarschijnlijk’ is dat het datalek ‘een risico oplevert voor de rechten en vrijheden van betrokkenen’, om te bepalen of de hierboven beschreven meldplichten op u van toepassing zijn. Deze risico inschatting moet u zelf maken, waarbij u het beste juridisch advies in kan winnen om tot een goede conclusie te komen.

Naast de wettelijke meldplichten bij een datalek, is het goed te realiseren dat u mogelijk andere verplichtingen heeft. Zo kan het zijn dat uw onderneming de persoonsgegevens verwerkt voor uw klanten. U moet dan het datalek melden bij de organisatie voor wie u de persoonsgegevens verwerkt. Vaak is ook deze meldplicht aan een termijn gebonden en is het u als verwerker van deze persoonsgegevens volgens het contract niet toegestaan om op eigen initiatief het datalek te melden bij de AP of de betrokkenen. Het is verstandig om ook op dit punt juridisch advies in te winnen, in aanvulling op de ondersteuning van een cybersecurity expert.

Meer nieuws of dreigingsinfo zien?

Word deelnemer en blijf op de hoogste van de nieuwste ontwikkelingen rondom digitale veiligheid.