EHBD: Eerste Hulp Bij Datalekken

Eerste Hulp bij Datalekken


Van Gelder Advocaten is expert op het gebied van datalekken en de AVG. Wij kunnen uw gehele onderneming privacybestendig maken. Heeft u hulp nodig met het opstellen van een interne procedure voor datalekken of verwerkersovereenkomsten? Wij kunnen u verder helpen! Met onze
Legal Scan Datalekken kunnen wij bovendien inzichtelijk maken in hoeverre uw onderneming databestendig is. Ook kunnen wij binnen één dag uw onderneming juridisch ‘AVG-proof’ maken.

 

De Algemene Verordening Gegevensbescherming

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG heeft de Wet bescherming persoonsgegevens (Wbp) vervangen. In de AVG wordt onder andere geregeld voor welke doeleinden persoonsgegevens verwerkt mogen worden. Ook regelt de AVG hoe deze persoonsgegevens beveiligd dienen te worden en hoe u dient om te gaan met datalekken. De boetes die de Autoriteit Persoonsgegevens (als toezichthoudende autoriteit) kan opleggen bij datalekken zijn onder de AVG ook fors verhoogd. Maar wat is een datalek? En wanneer moet u een datalek melden? Wat dient u hiervoor in uw onderneming geregeld te hebben?

Datalek

Een datalek is simpel gezegd een inbreuk op de beveiliging van persoonsgegevens. Het is niet nodig dat het datalek opzettelijk is veroorzaakt. Ook wanneer u per ongeluk een e-mail aan de verkeerde ontvanger zendt, kan dit een datalek opleveren. Andere voorbeelden van datalekken zijn: het verliezen van een usb-stick, een hack of virus op uw computer of laptop, toegang tot dossiers door onbevoegden, brand in een datacenter of documenten die in handen komen van onbevoegden.

Stel: een datalek doet zich voor in uw onderneming. Wat moet u nu doen?

Stappenplan voor het omgaan met een datalek

Als een datalek zich voordoet binnen uw onderneming, dient u onderstaande stappen te doorlopen.

STAP 1 – Melden aan Autoriteit Persoonsgegevens?

Wanneer een datalek een risico inhoudt voor de rechten en vrijheden van betrokkenen, dient een melding gemaakt te worden bij de Autoriteit Persoonsgegevens. Of een datalek een risico inhoudt, zult u per geval dienen te beoordelen. Wanneer gevoelige persoonsgegevens zijn gelekt of als het gaat om een grote hoeveelheid gegevens, dan zal snel sprake zijn van een risico. Bij gevoelige persoonsgegevens kunt denken aan het BSN, strafrechtelijke gegevens, gezondheidsgegevens, maar ook gegevens over ras, etniciteit, politieke opvattingen, godsdienst, levensovertuiging, seksuele gerichtheid of lidmaatschap van een vakbond.

Het datalek dient binnen 72 uur na ontdekking gemeld te worden aan de Autoriteit Persoonsgegevens. Hiervoor dient u het Meldloket van de website van de Autoriteit Persoonsgegevens te raadplegen.

STAP 2 – Melden bij betrokkenen?

Wanneer het datalek een hoog risico inhoudt voor betrokkenen, dient u een melding te maken bij de betrokkenen. Een hoog risico bestaat bijvoorbeeld bij persoonsgegevens die betrekking hebben op kwetsbare betrokkenen (zoals werknemers of patiënten), verwerkingen op grote schaal, stelselmatige monitoring of verwerkingen van gevoelige gegevens. U dient zo spoedig mogelijk een melding te maken bij betrokkenen als het datalek een hoog risico inhoudt.

Een melding aan betrokkenen kan achterwege blijven wanneer:

  • passende technische en organisatorische beschermingsmaatregelen zijn genomen (bijvoorbeeld versleuteling van de persoonsgegevens);
  • achteraf maatregelen zijn genomen waardoor de vastgestelde risico’s voor betrokkenen zijn weggenomen;
  • de mededeling onevenredig veel inspanning zou kosten. Een openbare mededeling zal in dat geval volstaan.
STAP 3 – Documenteren van datalekken?

Alle datalekken die zich voordoen binnen uw onderneming dienen gedocumenteerd te worden onder de AVG – zelfs als de datalekken in kwestie niet gemeld dienden te worden. U dient te documenteren om welk voorval het gaat en wanneer het datalek plaatsvond. Ook moet u documenteren wat de gevolgen waren van het datalek, om welke betrokkenen en persoonsgegevens het gaat en welke maatregelen genomen zijn om herhaling te voorkomen.

Tips
  • Tref voldoende beveiligingsmaatregelen. Zorg er bijvoorbeeld voor dat alle programma’s die u gebruikt zijn voorzien van een beveiligde verbinding. Als uw website een contactformulier heeft, dient u een zogenaamd SSL-certificaat te gebruiken. Dit wordt gekenmerkt door ‘https://’. Hierdoor worden (persoons)gegevens via een beveiligde verbinding verzonden;
  • stel een interne procedure op voor uw onderneming. De onderneming dient zelf te toetsen of zich een datalek heeft voorgedaan. Als dit zo is, dient u te onderzoeken of het datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens en/of de betrokkene(n). In de interne procedure kunt u onder andere opnemen aan welke persoon binnen de onderneming het datalek gemeld dient te worden. Daarnaast neemt u op wat de gevolgen zijn van een datalek en wie bepaalt of een melding gedaan moet worden. Tot slot vermeldt u wanneer een melding gemaakt moet worden en wie intern en extern communiceert over het datalek;
  • sluit verwerkersovereenkomsten af met alle partijen die persoonsgegevens voor u verwerken.
Tot slot

Hebt u vragen? Neem contact op met onze sectie privacyrecht via privacyrecht@vangelderadvocaten.nl of telefonisch via 088 – 88 40 840.