Datalek Philips: definitie en melden datalek
Vorige week zijn de persoonsgegevens van 2.000 werknemers bij Philips gestolen en online gezet. Dit datalek valt onder de nieuwe Meldplicht datalekken die geldt sinds 1 januari 2016. Wat is de definitie van een datalek en hoe moet u een datalek melden?
Uw organisatie is door de Meldplicht datalekken verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens, of het nu gaat om gegevens over personeel, klanten of anderen. Met het stroomschema meldplicht datalekken (tool) bepaalt u wanneer uw organisatie melding moet maken van een datalek. De meeste datalekken ontstaan door verlies van usb-sticks en laptops. Meldt uw organisatie een datalek niet, dan loopt de boete op tot € 820.000!
Stel beleid op voor melden van datalek
Om boetes, imago- en privacyschade te beperken, moet uw organisatie beleid voeren rond de Meldplicht datalekken. Stel een privacyreglement op waarin u vaststelt welke persoonsgegevens worden verwerkt, met welk doel en wat de risico’s zijn. Leg in het reglement ook vast wat de registratieprocedure is van datalekken. Vergeet niet vast te leggen wie de melding doet bij de Autoriteit Persoonsgegevens en dat dit gebeurt binnen 72 uur na constatering van het lek.
Rol ondernemingsraad bij meldplicht datalekken
De OR heeft de plicht om de privacy van werknemers te beschermen. Zo heeft de OR instemmingsrecht op nieuwe of te wijzigen bedrijfsregels over het verwerken van persoonsgegevens. Voert uw organisatie nog geen beleid rondom datalekken, dan is het de hoogste tijd dat de werkgever en afdeling HR in overleg met de OR beleid op papier zetten. Communiceer dat vervolgens duidelijk naar alle werknemers, zodat iedereen weet hoe hij moet handelen als hij zijn laptop verliest of op een andere manier met een datalek te maken krijgt.