Datalekken? Tijdig melden is verplicht, ook tijdens ziekte of vakantie

  • Blog
slachtoffers informeren over een datalek

Een datalek ontstaat vaak op een onverwacht moment. Het kan gaan om een verkeerd verzonden e-mail, een verloren laptop, een gehackte mailbox of ieder ander incident waarbij persoonsgegevens onbedoeld toegankelijk worden voor onbevoegden. Wat veel organisaties over het hoofd zien, is dat de meldplicht voor datalekken altijd van kracht is. Dus ook wanneer de Functionaris Gegevensbescherming (FG) of Privacy Officer met vakantie is, ziek is of tijdelijk niet beschikbaar kan zijn.

De AVG verplicht organisaties om een datalek binnen 72 uur na ontdekking te melden bij de Autoriteit Persoonsgegevens (AP). Die termijn is strikt en laat weinig ruimte voor vertraging. Een te late melding kan leiden tot boetes, intensiever toezicht, reputatieschade en verlies van vertrouwen van betrokkenen, klanten of burgers.

 

De rol van de Functionaris Gegevensbescherming

De FG speelt een centrale rol bij het beoordelen, afhandelen en melden van datalekken. De FG onderzoekt wat er is gebeurd, welke gegevens zijn betrokken, welke risico’s er zijn voor de betrokkenen en of het noodzakelijk is het datalek te melden bij de AP en in sommige gevallen bij de betrokkenen zelf.

Ook houdt de FG toezicht op het datalekregister, adviseert over maatregelen om herhaling te voorkomen en waarborgt dat medewerkers weten hoe en binnen welke termijn zij een mogelijk datalek intern moeten melden.

 

Geen excuus voor te laat melden

Ziekte, vakantie of een drukke werkperiode zijn geen geldige redenen voor het te laat melden van een datalek. De AVG maakt hierin geen uitzonderingen.
Daarom is het belangrijk om altijd te zorgen voor continuïteit in privacytoezicht. Dat kan bijvoorbeeld door een achterwachtregeling of door samen te werken met een externe FG die in kan springen bij afwezigheid. Zo blijft je organisatie compliant, ook als de vaste FG tijdelijk niet beschikbaar is.

 

Wanneer moet een datalek worden gemeld?

Een datalek kan verschillende risico’s met zich meebrengen. De FG beoordeelt het risico en adviseert over de noodzakelijke acties. Hierbij geldt:

  • Een datalek met een laag risico hoeft niet te worden gemeld bij de AP, maar moet wél worden opgenomen in het datalekregister.
  • Een datalek met een hoog risico moet altijd worden gemeld bij de Autoriteit Persoonsgegevens (AP). Daarnaast moeten in deze situatie ook de betrokken personen tijdig, duidelijk en zorgvuldig worden geïnformeerd.
  • Een datalek met een gemiddeld risico wordt vaak wél gemeld bij de AP, maar niet altijd aan betrokkenen, afhankelijk van de omstandigheden.

 

Deze beoordeling vraagt ervaring en nauwkeurigheid en dit is één van de belangrijke redenen waarom de FG hierbij onmisbaar is.

 

Betrokkenen informeren: zorgvuldigheid is erg belangrijk

In sommige gevallen moeten niet alleen de AP, maar ook de betrokkenen worden geïnformeerd. Dit is verplicht wanneer het datalek waarschijnlijk een hoog risico vormt voor hun rechten en vrijheden.

Het informeren van betrokkenen moet zorgvuldig, begrijpelijk en volledig zijn. Denk aan:

  • Een duidelijke uitleg van wat er is gebeurd.
  • Welke persoonsgegevens zijn gelekt.
  • Wat de mogelijke gevolgen kunnen zijn.
  • Welke maatregelen de organisatie heeft genomen.
  • Wat betrokkenen zelf kunnen doen, zoals wachtwoorden wijzigen.

 

De FG bewaakt de kwaliteit van dit proces en zorgt dat de communicatie correct is opgesteld.

 

FG-as-a-service: continuïteit en zekerheid

Steeds meer organisaties kiezen voor FG-as-a-service. Dit betekent dat je voor een vast bedrag per maand beschikt over een ervaren Functionaris Gegevensbescherming die toezicht houdt, adviseert en ondersteuning biedt bij incidenten.

Bij De Privacy Experts bieden we deze dienst op maat aan:

  • Je beschikt over een vaste FG, dus ook over een achterwacht tijdens vakantie of ziekte.
  • Je kunt gebruikmaken van onze strippenkaart voor adviesuren of ondersteuning bij datalekken.
  • We zorgen dat jouw organisatie voldoet aan de meldplicht en helpen jullie met het opstellen en bijhouden van het datalekregister.

Of je nu een gemeente, onderwijsinstelling of zorgorganisatie bent, met FG-as-a-service ben je altijd verzekerd van deskundige begeleiding en continuïteit.

Veelgestelde vragen

Wat is een datalek?

Een datalek is elke situatie waarin persoonsgegevens verloren zijn gegaan of onbedoeld toegankelijk zijn voor onbevoegden. Denk aan een verkeerd verzonden e-mail, een kwijtgeraakte USB-stick of een gehackte database.

Hoe snel moet een datalek worden gemeld?

De organisatie moet een datalek binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek risico’s oplevert voor betrokkenen.

Moet je betrokkenen altijd informeren?

Nee, alleen als het datalek waarschijnlijk een hoog risico oplevert voor hun rechten en vrijheden. De communicatie moet zorgvuldig, duidelijk en tijdig gebeuren.

Wat gebeurt er als je een datalek te laat meldt?

Te laat melden kan leiden tot een boete of sanctie van de AP. Bovendien kan het de reputatie van je organisatie ernstig schaden.

Wat staat er in een datalekregister?

In het datalekregister noteer je alle datalekken, ook die niet bij de AP zijn gemeld. Denk aan datum, aard van het lek, getroffen gegevens, betrokken personen, genomen maatregelen en de beoordeling door de FG.

Wie is verantwoordelijk voor het melden van een datalek?

De verwerkingsverantwoordelijke (de organisatie zelf) is verantwoordelijk voor de melding. De FG heeft een toezichthoudende en adviserende rol bij dit proces.

Hoe helpt FG-as-a-service bij datalekken?

Met FG-as-a-service beschik je altijd over deskundige ondersteuning bij incidenten. Ook als je vaste FG afwezig is, zorgt de achterwacht ervoor dat datalekken tijdig worden beoordeeld, geregistreerd en, indien nodig gemeld bij de AP en betrokkenen.

Deel dit artikel via:

Gerelateerde artikelen

Menu