Eerste hulp bij privacy incidenten

Beveiligings- of datalek? Spoedvraag privacy? we helpen graag

Meldplicht datalekken

De Algemene verordening gegevensbescherming (AVG) kent een meldplicht datalekken. Dat houdt in dat bedrijven en overheden een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) als er sprake is van een ernstig datalek. En soms moet het datalek ook gemeld worden aan de betrokkenen. Bij een datalek gaat het volgens de AP om “toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan.”

Datalek melden
AVG / GDPR

Drie categorieën datalekken

Datalekken zijn in drie categorieën te plaatsen. Dit zijn dezelfde categorieën als de bekende BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid) voor informatiebeveiliging. Voor datalekken ziet dat er als volgt uit:

  • Inbreuk op de beschikbaarheid: persoonsgegevens zijn onbevoegd of onopzettelijk verloren gegaan of er kan geen toegang meer tot worden verkregen. 
  • Inbreuk op de integriteit: de gegevens zijn onbevoegd of onopzettelijk gewijzigd.
  • Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn onbevoegd of onopzettelijk openbaar gemaakt, of onbevoegden hebben onopzettelijk toegang gekregen.

Datalek melden binnen drie dagen

Zodra een van de medewerkers in uw organisatie een datalek ontdekt, moeten de alarmbellen gaan rinkelen. Uw organisatie heeft namelijk 72 uur de tijd om het datalek te melden bij de Autoriteit Persoonsgegevens. Binnen die 72 uur is het dus zaak om zoveel mogelijk informatie in te winnen en mitigerende maatregelen te nemen. Denk daarbij aan het volgende:

In te winnen informatie
Om te kunnen beoordelen of u te maken heeft met een datalek of met een beveiligingsincident, heeft u informatie nodig. Soms is deze informatie niet direct binnen uw bereik. U heeft dan de medewerking nodig van uw verwerkers en subverwerkers.

Zorg in elk geval dat u op korte termijn te weten komt

  1. wat er precies gebeurd is,
  2. wie verantwoordelijk is voor het proces (uw eigen medewerker? Of die van uw leverancier?),
  3. wanneer het is gebeurd,
  4. hoe het heeft kunnen gebeuren,
  5. welke persoonsgegevens daarbij betrokken zijn,
  6. wiens persoonsgegevens zijn gelekt,
  7. om hoeveel personen het gaat,
  8. of de data versleuteld of gepseudonimiseerd was,
  9. wat de gevolgen zijn van het lek en
  10. welke maatregelen al zijn genomen.


Mitigerende maatregelen
Het datalek moet onmiddellijk gedicht worden, als dat nog mogelijk is. Is er iets mis met autorisaties of logische toegang? Zorg dan samen met uw ICT specialist dat de toegang wordt geblokkeerd, of de beveiliging wordt aangescherpt. Is er een document of gegevensdrager bij de verkeerde persoon terecht gekomen? Neem dan direct contact op met de betreffende personen en laat hen de informatie terug brengen of vernietigen (met bewijs van vernietiging).

Melden
Naar aanleiding van de ingewonnen informatie kunt u bepalen of sprake is van een datalek. Is het datalek zo ernstig dat deze gemeld dient te worden aan de Autoriteit Persoonsgegevens en/of de betrokkenen? Dan dient dat binnen 72 uur na ontdekking te gebeuren. Hiervoor heeft u alle informatie nodig.

Melden datalek
AVG

Eerste hulp bij datalekken

Heeft u hier hulp bij nodig? Of wilt u met een informatiebeveiligings- en privacyspecialist kunnen sparren over de te nemen stappen? Neem direct contact op met ons privacyteam. Stuk voor stuk FG’s die vaker met dit bijltje hebben gehakt. Wij staan 7 dagen per week voor u klaar. En bij datalekken houden wij natuurlijk rekening met de meldtermijn. Wij reageren dezelfde ochtend of middag nog.

De eerste intake of probleemindicatie per e-mail is natuurlijk kosteloos. Daarna kunnen we samen toewerken naar een oplossing.

Laat uw gegevens achter we nemen binnen één werkdag contact met u op.

Andere privacy vragen of meer weten over onze FG dienstverlening?

Laat uw gegevens achter dan bellen we u.