Help, ik heb een datalek!

Help, ik heb een datalek!

Ondanks alle maatregelen die u heeft genomen, is uw organisatie toch getroffen door een datalek (Lees ook: Hoe voorkom ik een datalek). Persoonsgegevens zijn nu gelekt. Wat moet u nu doen? Geen paniek. Hieronder volgt een stappenplan zodat u weet welke stappen u nu moet ondernemen.

Datalek melden bij Autoriteit Persoonsgegevens

Een datalek moet altijd gemeld worden aan de Autoriteit Persoonsgegevens. Ook als alles nog niet geheel duidelijk is, moet er een melding gemaakt worden binnen 72 uur. Dit termijn is gerekend vanaf het eerste moment dat het probleem gesignaleerd is, niet het tijdstip van bijvoorbeeld rapportage aan een verantwoordelijke of de juridische afdeling. De melding aan de Autoriteit Persoonsgegevens (AP) bevat in elk geval: 

  • de aard van de inbreuk
  • de instanties waar meer informatie over de inbreuk kan worden verkregen
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
  • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens
  • de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen

Word AVG compliant met onze online tool: ScopeDesk AVG

Melden aan betrokkenen

Er zijn persoonsgegevens verloren gegaan. Als de gelekte persoonsgegevens ongunstige gevolgen heeft voor de persoonlijke levenssfeer van de betrokkene, dan moet u het deze persoon in kwestie direct laten weten. Er zijn uitzonderingen op de plicht om aan de betrokkene te melden. Deze plicht geldt bijvoorbeeld niet als de gelekte persoonsgegevens versleuteld zijn. Dus een verloren usb-stick met persoonsgegevens die met encryptie is beveiligd hoeft niet gemeld te worden aan de betrokken personen. Uiteraard moet u ook kunnen aantonen dat de bestanden versleuteld zijn. Natuurlijk moet u dit wel melden aan de Autoriteit Persoonsgegevens via het meldloket

Bindende aanwijzing

De AP mag een boete onmiddellijk opleggen als er aanwijzingen zijn dat de overtreding opzettelijk is begaan. Ook als het een gevolg is van ernstig verwijtbare nalatigheid volgt een boete. In de meeste gevallen zal de AP eerst een bindende aanwijzing geven. De bindende aanwijzing bevat de gewenste houding van de overtreder volgens de Wet bescherming persoonsgegevens. Hiermee krijgt de overtreder de mogelijkheid om de overtreding te herstellen. Pas als het vergrijp daadwerkelijk een overtreding is, blijft de boete staan.

Praktische tips

Naast het melden van een datalek bij de AP zijn er ook andere praktische zaken waar u aan moet denken. Schakel de juridische afdeling in en stel data en bewijs veilig. Heeft u liever nog persoonlijke toelichting over Wbp? DataByte heeft de juiste expertise om u op weg te helpen.

Vind je dit bericht interessant?