U bent hier

Onderneming & Administratie
Cybersecurity6. Datalek melden6.3 Melding datalek
Voor Onderneming & Administratie

6.3 Melding datalek

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

AVG

Maar wat als er ondanks alle voorzorgsmaatregelen toch sprake is van een datalek? Uw onderneming heeft dan volgens de AVG de plicht om deze datalek binnen 72 uur te melden aan de Autoriteit Persoonsgegevens (AP) en in sommige gevallen aan de betrokken personen (zie paragraaf 6.5). Als u verzuimt dit te doen, is dat fout op fout (zie paragraaf 6.6).

6.3.1 Is er sprake van een datalek?

persoons-gegevens

Niet ieder beveiligingsincident is ook een datalek. Er is alleen sprake van een datalek als het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten van betrokkene(n). Als er geen persoonsgegevens bij betrokken zijn, is het voor de AVG geen datalek. U hoeft dan geen melding te doen aan de AP.

Uw onderneming hoeft een datalek niet te melden als de gegevens zodanig beveiligd zijn dat onbevoegden er geen kennis van kunnen nemen, bijvoorbeeld door encryptie. Dit is het coderen van gegevens zodat deze onbruikbaar zijn voor derden. De gegevens zijn dan onleesbaar.

6.3.2 Ernstig lek

bescherming

gevoelig

Het melden van een datalek is alleen verplicht als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als er een aanzienlijke kans op nadelige gevolgen is. Of u een datalek moet melden bij de AP hangt dus af van de ernst van het lek. Wat als ernstig wordt beschouwd, is een eigen afweging. U moet hierbij goed kijken naar welke data zijn uitgelekt en hoeveel data dit zijn. Het zoekraken van een bestand waarin staat wie aanwezig is bij een teamuitje zal niet snel aanleiding geven tot een melding. Maar een lek waarbij gegevens van gevoelige aard betrokken zijn, vormt altijd een risico voor de rechten en vrijheden van de betrokkenen. Denk aan persoonsgegevens zoals iemands ras of etnische afkomst, politieke opvattingen of financiële situatie (zie paragraaf 6.5).

Privacygevoelige informatie delen

schending privacy

bijzonder 


Een medewerker van de Overijsselse afdeling van de PVV stuurde een uitnodiging voor een evenement naar 100 geadresseerden, en vermeldde daarbij alle genodigden in de aanhef. Het gevolg: de e-mailadressen waren zichtbaar voor álle ontvangers. Een van de ontvangers van de e-mail diende een klacht in bij de AP wegens schending van zijn privacy. Omdat ontvangers van de e-mail konden zien wie de andere geadresseerden zijn, heeft de afzender privacygevoelige informatie gedeeld. Bovendien had de afzender hiermee de politieke opvattingen van alle genodigden gedeeld; de mail was namelijk gericht aan ‘vrienden van de PVV’. De politieke opvatting van een persoon is in de AVG een bijzonder persoonsgegeven en is daarom extra beschermd. Iemands politieke kleur kan namelijk gevoelig liggen, negatieve gevolgen hebben voor iemands carrière en zelfs aanleiding zijn voor discriminatie.

6.3.3 Meldformulier

Via een formulier op de website van de AP kunt u een datalek melden. Vragen die u in ieder geval moet beantwoorden op het meldformulier zijn:

  • aard van de inbreuk;
  • algemene informatie en contactgegevens;
  • beschrijving van de gevolgen van de inbreuk;
  • ondernomen vervolgacties;
  • (wijze van) inlichting van betrokkene(n);
  • genomen technische beschermingsmaatregelen;
  • internationale aspecten en gevolgen van de inbreuk.

Op rendement.nl/fadossier vindt u een tool waarmee u kunt bepalen of u melding moet maken van een datalek en, als dat het geval is, welke stappen u moet nemen.

Vragenlijst

bulkmelding

De vragenlijst is ‘slim’ geworden, waardoor u alleen relevante vragen hoeft te beantwoorden. Het formulier kunt u ook tussentijds opslaan. Ook is het mogelijk om een ‘bulkmelding’ van meerdere soortgelijke inbreuken te doen en een gemaakte melding in te trekken.

Leg (ook niet gemelde) beveiligingsincidenten vast

register

Volgens de beleidsregels van de AP behoort uw onderneming enkele zaken vast te leggen rond alle (mogelijke) datalekken. Incidenten die niet zijn gemeld moet u dus ook vastleggen. Houd een overzicht bij van alle datalekken (inclusief de feiten en gegevens over de aard van de inbreuk). Als het datalek is gemeld aan de betrokkene, neem dan ook de tekst van de kennisgeving op in het overzicht. Daarnaast is het raadzaam om een register voor datalekken bij te houden. Dit is voor bepaalde ondernemingen zelfs verplicht. Op rendement.nl/fadossier leest u wat u in elk geval in het register moet vastleggen.