Update AVG: hoe gaat u om met een datalek?

Geplaatst op:7 maart 2020

Update AVG: hoe gaat u om met een datalek?

Onlangs maakte de Autoriteit Persoonsgegevens (AP) bekend dat het in 2019
bijna 27.000 meldingen van een datalek heeft ontvangen. Dat is een stijging van 29% ten opzichte van 2018. Ook ontving de AP in 2019 25% meer datalekmeldingen naar aanleiding van hacking, phishing of malware-incidenten. Tijd voor een AVG update: hoe gaat u om met een datalek?

Organisaties met veel datalekken

Wat opvalt aan de cijfers van het AP is de stijging van het aantal meldingen. Maar ook de stijging van het aantal meldingen als gevolg van hacking of phishing valt op. En hoewel op dit moment vooral veel grote organisaties die veel persoonsgegevens verwerken hiervan het slachtoffer lijken te worden, lopen toch ook veel kleinere organisatie gevaar. Bij deze organisaties is de beveiliging namelijk niet altijd goed op orde.

Uit de cijfers van de AP blijkt verder dat organisaties uit de financiële sector, de zorgsector en het openbaar bestuur al een aantal jaar de meeste datalekmeldingen doen. Nederland is, samen met Duitsland en het Verenigd Koninkrijk, koploper in het melden van datalekken. Dat wordt deels veroorzaakt door de vergevorderde digitalisering van de Nederlandse samenleving, waardoor het risico op datalekken ook groter is. Maar in Nederland lijken organisaties zich ook beter bewust van hun meldplicht dan in andere landen.

Toch worden nog niet alle meldplichtige datalekken bij de AP gemeld. In 2019 is de AP 28 onderzoeken gestart naar organisaties die (mogelijk) een datalek hadden moeten melden en dat niet (of te laat) hebben gedaan.

De AVG: uw verplichtingen bij een datalek

Op grond van de AVG is er sprake van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. Daarvoor is het overigens niet nodig dat die persoonsgegevens gehackt of gestolen zijn. Ook bij een verkeerd geadresseerde e-mail met persoonsgegevens of een verloren usb-stick is er sprake van een datalek.

De AP heeft op de website een stappenplan opgenomen met de stappen die u bij een datalek moet nemen. Een van die stappen is het melden van het datalek bij de AP. Op grond van de AVG bent u namelijk verplicht om ernstige datalekken zo snel mogelijk (uiterlijk binnen 72 uur) nadat u het datalek hebt ontdekt te melden. Dat kan via het meldloket datalekken. Ook zult u onder omstandigheden de betrokkenen over het datalek moeten informeren.

Bij de beoordeling of er sprake is van een meldplicht moet u het risico van het datalek inschatten. Daarbij moet u afwegen hoe waarschijnlijk het is dat een risico zich voordoet en wat de impact is als dat inderdaad gebeurt. Daarbij moet u de volgende factoren meewegen:

  • de aard van de inbreuk
  • de aard, gevoeligheid en omvang van de persoonsgegevens
  • het gemak waarmee personen kunnen worden geïdentificeerd
  • de ernst van de gevolgen voor die personen
  • het aantal getroffen personen
  • de bijzondere kenmerken van deze personen
  • de bijzondere kenmerken van uw organisatie

Om u inzicht te geven in het soort datalekken dat gemeld moet worden heeft de AP een voorbeeldlijst op de website opgenomen.

Een van de andere verplichtingen die u onder de AVG hebt, is het aanleggen van een register van alle datalekken die zich bij u voordoen. In dit register moet u ook de datalekken opnemen die u niet bij de AP hoeft te melden.

Advies

Om te waarborgen dat u en uw medewerkers bij een datalek direct weten wat er moet gebeuren, adviseren wij u een protocol datalekken op te stellen en te implementeren. Ook adviseren wij u om in uw verwerkersovereenkomsten duidelijke afspraken te maken over eventuele datalekken, voor het geval zich een datalek bij de verwerker voordoet. Op die manier kunt u bij een onverhoopt datalek de schade voor de betrokkenen en uzelf zo veel mogelijk beperken.

Vragen?

Bent u geconfronteerd met een datalek? Of heeft u een vraag over uw protocol datalekken? Of een andere vraag over de AVG? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.

ARBEIDSRECHT

ARBEIDSRECHT

Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.

Elke werkdag bereikbaar
Stel uw vraag

E-mail specifieke vragen
info@Schravenmade.nl
Bel ons voor al uw vragen: 
0346-55 47 03

Contactinformatie

Bisonspoor 1218
3605 KZ Maarssen
Tel: 0346-55 47 03
Fax: 0346-56 07 64
Info@Schravenmade.nl

Schrijf u in voor onze tweewekelijkse nieuwsbrief

advocaat utrecht high trust
envelopephone-handset
Share This
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram