Het registreren van datalekken onder de Algemene verordening gegevensbescherming
Het registreren van datalekken onder de Algemene verordening gegevensbescherming
Sinds januari 2016 geldt de Wet meldplicht datalekken. Wij schreven eerder over dit onderwerp. Een datalek is een inbreuk op beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot verwerkte persoonsgegevens. U kunt denken aan een hack van uw systeem, het verlies van een laptop of USB-stick of de onbevoegde toegang tot een medisch dossier.
Vanaf 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Onder de AVG is het van belang dat u intern registreert welke datalekken er zijn geweest, ook in het geval van kleine kwesties.
Indien zich een datalek voordoet, dienen de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen te worden geregistreerd. Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.
Een datalek moet uiterlijk binnen 72 uur na kennisname worden gemeld aan de Autoriteit Persoonsgegevens. Een inbreuk hoeft alleen niet te worden gemeld aan de toezichthouder indien het redelijkerwijs onwaarschijnlijk is dat de inbreuk een risico voor de betrokkenen met zich meebrengt. U kunt hierbij denken aan een risico op identiteitsfraude of reputatieschade. In alle gevallen dienen datalekken te worden geregistreerd. In bepaalde gevallen moet u de inbreuk ook melden aan de betrokkenen, namelijk wanneer er sprake is van een datalek met een hoog risico.
Wij bespreken graag de aandachtspunten met u.