U bent hier

Onderneming & Fiscus
Privacy en AVG27. Meldplicht datalekken10.2 Melding maken

10.2 Melding maken

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

In sommige gevallen moeten organisaties een datalek melden aan de toezichthoudende autoriteit. Ook onder de AVG blijft de Autoriteit Persoonsgegevens (AP) in Nederland de instantie voor het melden van datalekken. De rol van de AP komt in hoofdstuk X uitgebreid aan bod.

10.2.1 Meldplicht

De organisatie die verantwoordelijk is voor de data die bloot zijn komen te liggen, moet volgens artikel 33 van de AVG elke inbreuk melden waarbij persoonsgegevens betrokken zijn. Dit melden moet gebeuren zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat de organisatie er kennis van heeft genomen.

Indien de melding aan de AP niet binnen 72 uur plaatsvindt, moet de organisatie deze vertraagde melding van het datalek goed kunnen motiveren.

risico’s

Er geldt wel een uitzondering, namelijk als het onwaarschijnlijk is dat het datalek risico’s inhoudt voor de rechten en vrijheden van de personen waar de persoonsgegevens bij horen. Denk aan een verloren laptop die versleuteld is en waar slechts een paar losse namen op staan. In dat geval hoeft u geen melding te maken bij de AP.

10.2.2 Lek bij verwerker

Als er een lek ontstaat bij de partij die uw organisatie in de arm heeft genomen om persoonsgegevens te verwerken (de verwerker) informeert deze partij uw organisatie.

De verwerker informeert de opdrachtgever direct nadat hij kennis heeft genomen van een inbreuk waarbij persoonsgegevens betrokken zijn.

Datalek omschrijven

aard van de inbreuk

FG

nadelige gevolgen

Bij een lek bij de verwerker moet de verantwoordelijke organisatie ten minste het volgende omschrijven of mededelen aan de AP:

  • de aard van de inbreuk op persoonsgegevens. Waar mogelijk meldt de organisatie de categorieën van betrokkenen en persoonsgegevensregisters. Het liefst meldt de organisatie ook het aantal betrokkenen en om welke persoonsgegevensregisters het gaat;
  • de naam en de contactgegevens van de functionaris voor de gegevensbescherming (FG) of een ander contactpunt waar meer informatie kan worden verkregen;
  • de waarschijnlijke gevolgen van de inbreuk. Het gaat dan om de gevolgen op het gebied van persoonsgegevens;
  • de maatregelen die de verantwoordelijke organisatie heeft voorgesteld of genomen om het datalek aan te pakken. Indien van toepassing worden ook de maatregelen gemeld die zijn genomen om de eventuele nadelige gevolgen te beperken.

Stapsgewijs melden

Als het niet mogelijk is om alle informatie gelijktijdig aan de AP te verstrekken, mag de informatie in stappen worden verwerkt.

Maar alleen als er geen sprake is van onredelijke vertraging. De verwerkingsverantwoordelijke organisatie moet alle datalekken van persoonsgegevens documenteren. Bij deze documentatieplicht horen ook de feiten rond de inbreuk, net als de gevolgen van het datalek en de genomen maatregelen, zodat de AP kan controleren of aan de verplichtingen is voldaan.

10.2.3 Betrokkenen informeren

In sommige gevallen moet uw organisatie verplicht de personen inlichten waarvan de persoonsgegevens bij het datalek bloot zijn komen te liggen. Wanneer een organisatie de plicht heeft om alle betrokken te informeren, ziet u in de onderstaande infographic.

Omschrijving

melding aan betrokkenen

De melding aan betrokkenen bevat een omschrijving in duidelijke en eenvoudige taal. In deze omschrijving staat de aard van de inbreuk en ten minste de gegevens en maatregelen die zijn beschreven in artikel 33 van de AVG. Zo moet u een contactpunt noemen, waar betrokkenen meer informatie kunnen opvragen en bent u verplicht mede te delen wat de waarschijnlijke gevolgen van het datalek zijn.

Niet vereist

De melding aan de betrokkenen is niet altijd verplicht ook al betekent het datalek een hoog risico voor hun rechten en vrijheden. Een organisatie hoeft een datalek niet aan gedupeerde personen te melden als aan een van de volgende voorwaarden is voldaan.

  • de organisatie heeft passende technische en organisatorische beveiligingsmaatregelen genomen en deze zijn toegepast op de persoonsgegevens die bij het datalek betrokken zijn. Het gaat dan met name om het ontoegankelijk maken van de persoonsgegevens voor onbevoegden, bijvoorbeeld met versleuteling;
  • de verantwoordelijke organisatie heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
  • de mededeling aan betrokkenen zou onevenredige inspanningen vergen, bijvoorbeeld als het om duizenden klanten gaat. In dat geval komt er een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. Dit kan bijvoorbeeld een bericht op de website zijn.

Mocht de verantwoordelijke organisatie de inbreuk nog niet hebben gemeld aan betrokkenen, dan kan de AP alsnog beslissen dat er sprake is van deze meldplicht aan gedupeerde personen.