6.4 Datalekken
identiteitsfraude
De meldplicht datalekken geldt sinds 1 januari 2016 en is opgenomen in de Algemene verordening gegevensbescherming (AVG). Door een datalek kan een organisatie in de problemen komen, bijvoorbeeld omdat er een kans is op identiteitsfraude.
Denk aan het verliezen van een USB-stick met persoonsgegevens of een hack van uw bedrijfssysteem. Lopen de personen van wie de data zijn gelekt een hoog risico op schade, dan moet uw organisatie hen op de hoogte stellen.
Autoriteit Persoonsgegevens
boete
Als uw organisatie als ‘verwerkingsverantwoordelijke’ persoonsgegevens is kwijtgeraakt of per ongeluk heeft gedeeld, moet u dat melden bij de Autoriteit Persoonsgegevens (AP). Is dit het gevolg van onvoldoende beveiligingsmaatregelen, dan kan de AP uw organisatie een boete opleggen die miljoenen euro’s kan bedragen. Dit geldt meestal alleen bij bewuste nonchalance of herhaaldelijke overtredingen na een eerdere waarschuwing.
melding
Op rendement.nl/hrdossier vindt u een kant en klare procedure ‘datalek en beveiliging’. Deze procedure kunt u desgewenst naar eigen inzicht aanpassen.
Als u een melding moet doen bij de AP, doet u dat zonder onnodige vertraging en niet later dan 72 uur na de ontdekking van het datalek. Lukt dat niet, dan moet uw organisatie de vertraging goed kunnen onderbouwen. Via een formulier op de website van de AP kunt u de melding zo nodig aanvullen of intrekken. Wat u in ieder geval moet melden:
- de aard van de inbreuk;
- algemene informatie en contactgegevens;
- beschrijving van geconstateerde en vermoedelijke gevolgen van de inbreuk;
- ondernomen vervolgacties;
- (wijze van) inlichting van betrokkene(n);
- genomen technische beschermingsmaatregelen;
- internationale aspecten en gevolgen van de inbreuk
informatie
Bij een melding aan betrokkenen geeft u in ieder geval de volgende informatie:
- algemene omschrijving van de aard van de inbreuk;
- instantie waar betrokkene(n) meer informatie over de inbreuk kan krijgen;
- aanbevolen maatregelen.