In onze eerdere blog hebben we voor u uiteengezet wanneer sprake is van een datalek. We hebben aangegeven dat wanneer een datalek een (hoog) risico inhoudt voor de rechten en vrijheden van betrokkenen, het datalek gemeld dient te worden bij de Autoriteit Persoonsgegevens. Onder bepaalde omstandigheden dient u ook de betrokkenen te informeren over het datalek. De te nemen stappen bij datalekken treft u hier nogmaals aan.
Richtlijnen EDPB
De EDPB (European Data Protection Board) heeft in 2018 al richtlijnen opgesteld voor de wijze waarop met datalekken moet worden omgegaan. Op 19 januari 2021 heeft de EDPB ter consultatie aanvullende richtlijnen gepubliceerd. De EDPB beoogt hiermee de bestaande richtlijnen duidelijker en praktijkgerichter te maken. De EDPB heeft geput uit drie jaren ervaring met de GDPR.
Voorbeelden
Hieronder geven we enkele voorbeelden van datalekken die de EDPB nader uitwerkt in haar aanvullende richtlijnen:
- gevoelige persoonlijke gegevens die (per ongeluk) per e-mail verzonden worden naar derden;
- de situatie waarbij u als webshop orders van twee verschillende cliënten “verwisselt” waardoor niet alleen de bestelling verkeerd wordt geleverd, maar ook de pakbonnen/facturen bij de verkeerde personen terecht komen. Dit worden “snail mail mistakes” genoemd;
- situaties waarbij een laptop van een werknemer gestolen wordt. U weet dat op de laptop persoonsgegevens staan van duizenden cliënten, maar welke gegevens dit precies zijn kunt u niet meer achterhalen;
- gegevens die door een voormalig werknemer gedownload zijn vanuit uw bedrijfssysteem en later door hem gebruikt worden om uw relaties te benaderen voor commerciële doeleinden.
Consultatie
De consultatie duurt tot 2 maart 2021. Na de consultatieperiode stelt de EDPB de definitieve guidelines vast. Uiteraard informeren we u wanneer dit heeft plaatsgevonden.
Meer informatie?
Hebt u vragen over het privacyrecht binnen uw organisatie? Hebt u zelf te maken (gehad) met een datalek? Neem contact op met onze sectie privacyrecht via privacyrecht@vangelderadvocaten.nl of telefonisch via 088 – 88 40 840. We helpen u graag verder!
