AVG Special – 4. Wat te doen bij een datalek

AVG Special – 4. Wat te doen bij een datalek

In de vorige artikelen over datalekken heb je gelezen dat de oorzaak voor een datalek vaak in een klein hoekje zit. Heb dan ook niet de indruk dat het jou niet gaat overkomen! Het overkomt iedere organisatie!

Draaiboek helpt
Zorg dat je een draaiboek hebt en medewerkers weten bij wie ze een datalek, ernstig of niet, kunnen melden. De Autoriteit Persoonsgegevens (AP) heeft hiervoor een stappenplan ontwikkeld.

Stel een incidententeam samen bestaande uit:

  • Contactpersoon privacy of functionaris gegevensbescherming
  • IT-specialist
  • Directielid

Volg een melding direct op. Onderzoek wat er is gebeurd, neem actie om verdere inbreuken te voorkomen, maar bovenal leg alles wat er gedaan wordt en gevonden wordt vast in het register datalekken. In zo een register wordt alles bij elkaar bewaard en is dan ook direct aan te leveren bij vragen. Pas als alles inzichtelijk is bepaal je of er een melding gemaakt moet worden bij de AP en/of bij betrokkene. Niet iedere inbreuk moet tenslotte gemeld worden bij de AP en/of betrokkene. LET OP de termijn van 72 uur voor melding van een datalek bij de AP! Zie als voorbeeld de boete die het AP oplegde aan Booking.com.

Wanneer melden bij de Autoriteit Persoonsgegevens
Een melding bij de AP moet plaatsvinden binnen 72 uur nadat het datalek is ontdekt. Een melding hoeft niet plaats te vinden als het niet waarschijnlijk is dat er een risico is voor de vrijheid of integriteit van de betrokkene(n). Als het gaat om bijzondere persoonsgegevens, zoals medische gegevens, moet je direct melden. Zo ook bij gevoelige persoonsgegevens als een BSN nummer of een kopie ID-bewijs/paspoort. Voor het overige is het afhankelijk van de omvang van het aantal betrokkenen en de aard van de persoonsgegevens. De AP heeft een checklist opgesteld waarmee je kunt beoordelen of een datalek gemeld moet worden of niet, maar je kunt natuurlijk ook altijd bij Inge Brattinga of Gerrit van Rooij terecht.

Alleen de verwerkingsverantwoordelijke meldt een datalek bij de AP. Als het datalek bij een verwerker van je is ontstaan moet de verwerker dit aan je melden. Dit heb je vastgelegd in de verwerkersovereenkomst.

Overigens noemt de AP op haar website een situatie waarin je niet hoeft te melden. Dat is het geval als persoonsgegevens aan een verkeerde derde zijn verstrekt, maar deze derde als betrouwbaar (bijv. vaste leveranciers) kan worden geacht. Is dit het geval neem dan contact op en verzoek hen de gegevens direct te wissen.

Wanneer moet je een datalek melden bij betrokkene(n)?
Een melding bij betrokkene(n) hoeft ingevolge artikel 34 AVG alleen plaats te vinden als er sprake is van een hoog risico voor rechten en vrijheden van de betrokkene. Een inbreuk op de beveiliging van persoonsgegevens kan grote schadelijke gevolgen hebben voor de desbetreffende betrokkene. Om een betrokkene in staat te stellen de nodige maatregelen te nemen, bijvoorbeeld tegen identiteitsfraude, is het belangrijk om bij een hoog risico een melding bij de betrokkene te maken. Een hoog risico betekent bijvoorbeeld een kans dat betrokkene te maken krijgt met stigmatisering of uitsluiting, schade aan de gezondheid, financiële schade of (identiteits)fraude.

De melding moet onverwijld worden gedaan.
Dit betekent zoveel als zonder onnodige vertraging en derhalve zo snel als redelijkerwijs mogelijk. In tegenstelling tot een melding bij de AP staat hier geen vaste termijn voor. De wet (artikel 34 lid 2 AVG) schrijft vervolgens voor dat in de mededeling aan betrokkene in duidelijke en eenvoudige taal aangegeven moet worden wat er is gebeurd en welke persoonsgegevens betrokken zijn bij het datalek. Zorg dat je hiervoor een basisbrief klaar hebt liggen als onderdeel van het draaiboek. Modellen ter voorbeeld en gebruik zijn onder andere te vinden op clairecontractcheck.

"Spoofing, een draaiboek? Onze ervaring: We hadden geen draaiboek, maar wel ervaring bij recall van producten uit de markt. Dat hielp. We hebben aan onze provider gevraagd welke logs ze bijhouden van inkomende en uitgaande emails. Daaruit bleek waar de spoofingmails vanuit het email adres van onze medewerker verstuurd waren. We hebben al deze geadresseerden een waarschuwingsmail gestuurd met een instructie hoe met deze spoofing mails om te gaan en te controleren of zij nu ook dit soort mails verder verspreidden.  Daarna hebben we een melding gedaan bij de AP. Getegeld binnen 24 uur. Aan de hand van onze eerste ervaring hebben wij dit draaiboek gemaakt."

Spoofing, een draaiboek: Je wilt vooral je relaties geen schade berokkenen als gevolg van jouw problemen. Dus daar ging onze eerste aandacht naartoe. Zo konden we aan de AP melden dat er een datalek was en dat we het hadden opgelost.

Nog meer nieuws

VRF werkte mee aan totstandkoming van payroll bedrijfs-cao.

Wij zijn vereerd dat wij een bijdrage mochten leveren aan de totstandkoming van een payroll bedrijfs-cao! Sander van Riel en Stephanie van Kuijk hebben dit traject vanuit VRF Advocaten mogen begeleiden.Connexie en LBV zijn van mening dat met dit akkoord een duurzame basis is gelegd waarop ondernemers door Connexie ontzorgd kunnen blijven worden, terwijl werknemers…

VRF Advocaten top leverancier in rubriek Wet & Regelgeving

In het Nederlandse Partner of Choice onderzoek heeft de flexmarkt VRF Advocaten uitgeroepen tot top leverancier in de rubriek Wet & Regelgeving. Flexmarkt beoogt met dit onderzoek flexbureaus op weg te helpen bij de leverancierskeuzes op het gebied van zes relevante werkgebieden. Onder de lezers en de bezoekers van Flexmarkt is de vraag uitgezet ‘Met…

Flexbranche roept meest talentvolle starter van het jaar uit

Op 4 november 2021 vond de finale plaats tussen de 10 overgebleven finalisten voor de meest veelbelovende en talentvolle starter van het jaar in de flexbranche. Delistaff, vertegenwoordigd door Pieter Engels (eigenaar),  is van alle startende uitzend, detacherings- en payrollorganisaties door de vakjury uitgeroepen tot meest talentvolle starter en heeft de Award Starter van het…

Wil je op de hoogte blijven van het laatste nieuws als het gaat om de juridische stand van zaken ten aanzien van flexarbeid?