AVG Special – 4. Wat te doen bij een datalek
In de vorige artikelen over datalekken heeft u gelezen dat de oorzaak voor een datalek vaak in een klein hoekje zit. Heb dan ook niet de indruk dat het u niet gaat overkomen! Het overkomt iedere organisatie!
Draaiboek helpt
Zorg dat u een draaiboek heeft en medewerkers weten bij wie ze een datalek, ernstig of niet, kunnen melden. De Autoriteit Persoonsgegevens (AP) heeft hiervoor een stappenplan ontwikkeld.
Stel een incidententeam samen bestaande uit:
- Contactpersoon privacy of functionaris gegevensbescherming
- IT-specialist
- Directielid
Volg een melding direct op. Onderzoek wat er is gebeurd, neem actie om verdere inbreuken te voorkomen, maar bovenal leg alles wat er gedaan wordt en gevonden wordt vast in het register datalekken. In zo een register wordt alles bij elkaar bewaard en is dan ook direct op te leveren bij vragen. Pas als alles inzichtelijk is bepaalt u of er een melding gemaakt moet worden bij de AP en/of bij betrokkene. Niet iedere inbreuk moet tenslotte gemeld worden bij de AP en/of betrokkene. Maar let wel op de termijn van 72 uur voor melding van een datalek bij de AP! Zie als voorbeeld de boete die het AP oplegde aan Booking.com.
Wanneer melden bij de Autoriteit Persoonsgegevens
Een melding bij de AP moet plaatsvinden binnen 72 uur nadat het datalek is ontdekt. Een melding hoeft niet plaats te vinden als het niet waarschijnlijk is dat er een risico is voor de vrijheid of integriteit van de betrokkene(n). Als het gaat om bijzondere persoonsgegevens, zoals medische gegevens, moet je direct melden. Zo ook bij gevoelige persoonsgegevens als een BSN nummer of een kopie ID-bewijs/paspoort. Voor het overige is het afhankelijk van de omvang van het aantal betrokkenen en de aard van de persoonsgegevens. De AP heeft een checklist ontwikkeld waarmee je kunt beoordelen of een datalek gemeld moet worden of niet, maar u kunt natuurlijk ook altijd bij Inge Brattinga of Gerrit van Rooij terecht.
Alleen de verwerkingsverantwoordelijke meldt een datalek bij de AP. Als het datalek bij een verwerker van u is ontstaan moet de verwerker dit bij u melden. Dit heeft u geregeld in de verwerkersovereenkomst.
Overigens noemt de AP op haar website een situatie waarin je niet hoeft te melden. Dat is het geval als persoonsgegevens aan een verkeerde derde verstrekt zijn, maar deze derde als betrouwbaar (bijv. vaste leveranciers) kan worden geacht. Is dit het geval neem dan contact met deze op en vraag om de gegevens direct te wissen.
Wanneer moet je een datalek melden bij betrokkene(n)?
Een melding bij betrokkene(n) hoeft ingevolge artikel 34 AVG alleen plaats te vinden als er sprake is van een hoog risico voor rechten en vrijheden van de betrokkene. Een inbreuk op de beveiliging van persoonsgegevens kan grote schadelijke gevolgen hebben voor de desbetreffende betrokkene. Om een betrokkene in staat te stellen de nodige maatregelen te nemen, bijvoorbeeld tegen identiteitsfraude, is het belangrijk om bij een hoog risico een melding bij de betrokkene te maken. Een hoog risico betekent bijvoorbeeld een kans dat betrokkene te maken krijgt met stigmatisering of uitsluiting, schade aan de gezondheid, financiële schade of (identiteits)fraude.
De melding moet onverwijld worden gedaan. Dit betekent zoveel als zonder onnodige vertraging en derhalve zo snel als redelijkerwijs mogelijk. In tegenstelling tot een melding bij de AP staat hier geen vaste termijn voor. De wet (artikel 34 lid 2 AVG) schrijft vervolgens voor dat in de mededeling aan betrokkene in duidelijke en eenvoudige taal aangegeven moet worden wat er is gebeurd en welke persoonsgegevens betrokken zijn bij het datalek. Zorg dat u hiervoor een basisbrief klaar heeft liggen als onderdeel van het draaiboek. Modellen ter voorbeeld en gebruik zijn onder andere te vinden op clairecontractcheck.
Spoofing, een draaiboek? Onze ervaring: We hadden geen draaiboek, maar wel ervaring bij recall van producten uit de markt. Dat hielp. We hebben aan onze provider gevraagd welke logs ze bijhouden van inkomende en uitgaande emails. Daaruit bleek waar de spoofingmails vanuit het email adres van onze medewerker verstuurd waren. We hebben al deze geadresseerden een waarschuwingsmail gestuurd met een instructie hoe met deze spoofing mails om te gaan en te controleren of zij nu ook dit soort mails verder verspreidden. Daarna hebben we een melding gedaan bij de AP. Getegeld binnen 24 uur. Aan de hand van onze eerste ervaring hebben wij dit draaiboek gemaakt.
Spoofing, een draaiboek: Je wilt vooral je relaties niet beschadigen met jouw problemen. Dus daar ging onze eerste aandacht naartoe. Zo konden we aan de AP melden dat er een datalek was en dat we het hadden opgelost.
De AVG Special is geschreven in partnerschap met Inge Brattinga – VRF advocaten en het AVG Garant Keurmerk
Webinar: AVG waar moet je op letten
Wilt u meer weten? We hebben ook nog een webinar! Meld u hier aan voor de webinar van 20 oktober.
Relevante artikelen
AVG Special – 6. Hoe AVG compliant zijn?
Bij een audit van AVG Garant kijken we of een bedrijf passende maatregelen heeft genomen om persoonsgegevens te beveiligen. Maar zelfs als dit aan
AVG Special – 5. Aansprakelijkheid bij een datalek
Wat is uw positie als werkgever op het moment dat een medewerker een datalek veroorzaakt? Bij wie ligt de aansprakelijkheid bij een datalek? Bent
AVG special – 3. Een datalek voorkomen
Zoals in het vorige artikel aangegeven kunt u niet ieder datalek voorkomen. Waar mensen werken worden fouten gemaakt. Dit kan ook niet anders. U
Plaats een bericht