DATALEKKEN

Afbeelding voor categorie DATALEKKEN


Meldplicht datalekken: wat is het?


Sinds 1 januari 2016 geldt in Nederland de "meldplicht datalekken".

Tot en met 24 mei 2018 staat de meldplicht in artikel 34a van de Wet bescherming persoonsgegevens. Vanaf 25 mei 2018 staat deze in artikel 33 en 34 van de Algemene Verordening Gegevensbescherming (AVG).

Wat houdt de meldplicht in?

De meldplicht houdt in dat datalekken die aan bepaalde criteria voldoen moeten worden gemeld aan de privacytoezichthouder (in Nederland: de Autoriteit Persoonsgegevens) en soms ook aan de personen om wiens persoonsgegevens het gaat.

Wat is een datalek? 

Een datalek is een (beveiligings)incident waarbij (niet is uit te sluiten dat) een onbevoegde derde toegang krijgt tot de persoonsgegevens, dat deze worden aangetast of dat deze verloren zijn gegaan zonder dat er een back-up is gemaakt.

Welke datalekken moeten worden gemeld?

Datalekken waarbij er een (te verwachten) risico is voor de betrokken personen om wiens persoonsgegevens het gaat, moeten aan de Autoriteit Persoonsgegevens worden gemeld. Als het datalek daarnaast waarschijnlijk een hoog risico inhoudt voor de personen om wiens persoonsgegevens het gaat, moet het datalek ook worden gemeld aan die personen zelf.

Ons draaiboek (protocol) datalekken ondersteunt uw organisatie bij het bepalen welke datalekken moeten worden gemeld.

Wat zijn de sancties?

Wanneer de verantwoordelijke niet (op tijd) een datalek meldt dat had moeten worden gemeld, kan de Autoriteit Persoonsgegevens een boete opleggen. Onder de Wet bescherming persoonsgegevens is dat tot € 820.000,-, onder de AVG kan dat oplopen tot 10.000.0000 of 2% van de wereldwijde omzet.

Wat kunt u doen om uw organisatie voor te bereiden op datalekken (een stappenplan)?

U kunt de volgende stappen nemen:

 1. U kunt beginnen door te inventariseren welke persoonsgegevens er binnen uw organisatie worden gebruikt. Kijk daarbij naar de verschillende “gegevensstromen”: bijvoorbeeld die van klanten, werknemers, leveranciers, bezoekers, websitegebruikers. De meeste gegevens zijn waarschijnlijk aan te merken als persoonsgegevens.

2.  Kijk daarna waar de persoonsgegevens staan: is dat op de eigen computers, smart phones en servers van uw organisatie of staan ze bij externe partijen? Externe partijen zijn vaak “bewerkers”. Met de bewerkers moeten goede afspraken worden gemaakt over het melden van datalekken aan uw organisatie.

Leg dit vast in een bewerkersovereenkomst.

In onze webshop kunt u de volgende AVG bewekersovereenkomsten bestellen:

Bewerkersovereenkomst Dienstverleners AVG

Bewerkersovereenkomst Hosting AVG

Bewerkersovereenkomst Cloud AVG

Eenvoudige bewerkersovereenkomst ZZP-ers AVG

Heeft u al een bestaande bewerkersovereenkomst, dan kunt u voor het regelen van datalekken (dit geldt per 1 januari 2016) ook alleen een Clausule Datalekken bestellen.

3.  Zet een “datalekken plan” op en wijs een persoon of een team aan binnen uw organisatie om de datalekken in behandeling te nemen.

4. Informeer de eigen organisatie over wat datalekken zijn. Laat de medewerkers weten wanneer ze de aangewezen persoon of het team daarover moeten informeren. Bij ons draaiboek zit een informatieblad waarmee de organisatie hierover kan worden geïnformeerd.

5. De meldingsplichtige datalekken moeten worden gemeld via de website van de Autoriteit Persoonsgegevens en, wanneer nodig, ook aan de personen om wiens gegevens het gaat. 

 

________________

 

Bent u voorbereid op datalekken?

Bestel ons Draaiboek Datalekken AVG en ondersteun uw organisatie bij datalekken.