U bent hier

Onderneming & Administratie
Cybersecurity6. Datalek melden6.5 Datalek communiceren
Voor Onderneming & Administratie

6.5 Datalek communiceren

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

In sommige gevallen moet u ook de betrokkenen (zoals klanten, zakenrelaties of werknemers) informeren over het datalek. Dit hoeft alleen als het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen.

Gevoelig

afkomst

gezondheid

financiële 
situatie

Zoals u in paragraaf 6.3 kon lezen vormt een lek waarbij gegevens van gevoelige aard betrokken zijn, altijd een risico voor de rechten en vrijheden van de betrokkenen. Denk aan:

  • Bijzondere persoonsgegevens: gegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische/biometrische gegevens, gezondheid, seksueel gedrag of seksuele geaardheid.
  • Gebruikersnamen, wachtwoorden en andere inloggegevens.
  • Gegevens over de financiële situatie van de betrokkene. Hieronder vallen onder meer gegevens over (problematische) schulden, salaris- en betalingsgegevens.
  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties bij studie of op het werk, of relatieproblemen.

Omschrijving

eenvoudige taal

De melding aan betrokkenen bevat een omschrijving in duidelijke en eenvoudige taal. In deze omschrijving staan de aard van de inbreuk en ten minste de gegevens en maatregelen die zijn beschreven in de AVG. Zo moet u een contactpunt noemen, waar betrokkenen meer informatie kunnen opvragen. Ook bent u verplicht om mee te delen wat de waarschijnlijke gevolgen van het datalek zijn.

Op rendement.nl/fadossier vindt u een tool die u helpt bij het opstellen van een brief waarin u betrokkenen op de hoogte stelt van een datalek.

Uitzonderingen

voorwaarden

versleuteling

Er zijn wel uitzonderingen op de meldingsplicht. Maar daarvoor gelden wel voorwaarden. Uw onderneming hoeft een datalek niet aan de gedupeerden te melden als aan een van de volgende voorwaarden is voldaan:

  • Uw onderneming heeft passende technische en organisatorische beveiligingsmaatregelen genomen en deze zijn toegepast op de persoonsgegevens die bij het datalek betrokken zijn. Het gaat dan met name om het ontoegankelijk maken van de persoonsgegevens voor onbevoegden, bijvoorbeeld met versleuteling (zie paragraaf 6.2.3).
  • Uw onderneming heeft als verantwoordelijke achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen.
  • De melding aan de betrokkenen zou onevenredige inspanningen van uw onderneming vergen, bijvoorbeeld als het om duizenden klanten gaat. In dat geval moet u zorgen voor een openbare mededeling of een soortgelijke maatregel waarbij alle betrokkenen even doeltreffend worden geïnformeerd.

Voorkom herhaling, blijf communiceren

bewust-
wording

thuiswerken

Als uw onderneming slachtoffer wordt van een datalek is het belangrijk dat werknemers worden geïnformeerd over het incident, zodat dit niet een tweede keer voorkomt. Het is belangrijk dat werknemers zich bewust worden van alle mogelijke gevaren. Spreek ook met ze af dat ze phishingmails of soortelijke e-mails altijd intern moeten melden, zodat er actie kan worden ondernomen. Besteed ook aandacht aan de gevaren die gepaard gaan met thuiswerken. U kunt hiervoor de tool ‘Reglement Veilig datagebruik bij thuiswerken’ op rendement.nl/fadossier gebruiken.