Het massale thuiswerken brengt nieuwe uitdagingen en risico’s met zich mee, zowel voor werkgevers als…

Een datalek vormt niet in elk geval grond voor paniek, maar u moet wel gelijk in actie komen om boetes voor datalekken te ondervangen. De AVG, die belangrijke privacy wetgeving bevat, verwacht namelijk nogal wat van u in het melden en in orde brengen van een datalek, doordat de meldplicht datalekken van kracht is.
Blue Legal ziet datalekken in de praktijk vaker voorkomen dan veel mensen denken. Men combineert een datalek veelvuldig met gegevens ‘die op straat zijn gekomen’. Andere situaties leveren echter evengoed een datalek op. Het is van belang dat u zich daarvan bewust bent, zodat u weet wanneer in actie te komen en wat te doen bij een datalek overeenstemmend met de wetgeving datalekken. En op die manier bijvoorbeeld boetes te voorkomen. We leggen het uit met ons stappenplan die u bij de hand kunt houden bij datalekken. Ook geven we als advocaat in privacyrecht tips op welke manier u een datalek kunt voorkomen.
De eerste vraag die u helder moet hebben is: wat is een datalek? Door eerst te achterhalen of u een datalek heeft, kunt u aansluitend het stappenplan lezen. Er zijn 3 datalekken te onderscheiden. Nummer 1: een datalek waarbij de vertrouwelijkheid van persoonsgegevens aangetast wordt. Hier komen er gegevens op straat te liggen bij een datalek. Bij dit datalek is toegang tot persoonsgegevens niet geoorloofd of niet gewild. Denk aan cyberaanvallen met gestolen en publiek gemaakte persoonsgegevens.
Bij het volgende datalek is de integriteit geschonden. Gegevens van personen zijn onbevoegd of niet opzettelijk bewerkt: bijvoorbeeld medische informatie van een patiënt onbedoeld wijzigen, resulterend in het verkeerd voorschrijven van medicijnen.
Datalek 3: het lek waar persoonsgegevens zonder opzet vernietigd zijn, ook wel ‘inbreuk op de beschikbaarheid’ genoemd. Dit kan voorkomen wanneer een bedrijf updates draait op systemen en een aandeel van het klantenbestand of personeelsbestand verloren gaat.
Nu u weet wat een datalek is, leggen we uit wat te doen bij een lek met ons stappenplan over privacy wetgeving voor datalekken. Zoals beschreven, paniek is niet nodig. Kom wel gelijk in actie en wend boetes af. We leggen uit wat te doen bij een datalek. Ga deze onderdelen na om uw datalek AVG-compliant in orde te maken. Ook is het zo: voorkomen gaat voor genezen. Met onze tips aan het einde leggen we uit hoe u een datalak kunt voorkomen. Als advocaat in privacyrecht hebben we de belangrijke punten op papier gezet.
Stap 1 in het stappenplan na de gewaarwording van het lek, is schade inperken bij getroffenen. Hoe dat moet, hangt af van de stand van zaken, maar in dit stadium is het belangrijk dat als eerste de reden voor het datalek wordt aangepakt. Zorg dus dat u het datalek afsluit, mocht u dat nog niet hebben gedaan. Autoriteit Persoonsgegevens (AP) geeft u deze tips:
Vervolgens is het belangrijk een risicoanalyse ten uitvoer te brengen. De AVG legt uit dat een datalek mogelijk zorgt voor controleverlies van gegevens van personen, discriminatie, rechtenbeperking, diefstal of fraude van identiteit, financiële afbreuken, ongeoorloofde ongedaanmaking van pseudonimisering, schade aan reputatie, verlies van vertrouwelijkheid door het beroepsgeheim persoonsgegevens die bewaakt zijn of andere economische of maatschappelijke verliezen.
De privacy wetgeving over datalekken geeft aan dat risico’s bij een datalek beoordeeld moeten worden aan de hand van de volgende factoren:
Aan de hand hiervan kan beoordeeld worden wat de risico’s zijn van het datalek.
Omwille van meldplicht datalekken in de wetgeving geldt dat u het datalek gewoonlijk moet melden bij autoriteiten. Bij risico’s voor getroffenen moet u een datalek melden. Wij ervaren als advocaat in privacyrecht dat het regelmatig zo is. U hoeft daarentegen niet te melden indien de informatie versleuteld was en dus niet te begrijpen is voor derden, mits de sleutel vanzelfsprekend ook niet gelekt is.
Wanneer u tot de conclusie komt dat u moet melden, moet de melding volgens privacy wetgeving snel plaatsvinden. Meldingen over een datalek moeten immers zonder vertraging en, indien realiseerbaar, het langste 72 uur sinds de gewaarwording van het datalek, worden gedaan. En opgelet: het weekend telt mee in die 72 uur. Het is daarmee belangrijk om gauw te handelen volgens ons stappenplan voor een datalek omwille van de meldplicht datalekken om een boete af te weren.
U kunt ook een voorlopige melding verzenden. Heeft u nog niet de complete informatie over het datalek, kunt u aangeven dat u het later bijwerkt. Excuses om geen melding te doen zijn er dus niet, die termijn van 72 uur is erg belangrijk om o.a. boetes te voorkomen.
Meldingen doet u op de website van de autoriteit. Wilt u ondersteuning bij melden? Vraagt u zich af u verplicht bent het datalek te melden? Eén van onze privacy wetgeving specialisten staat klaar, die u kan helpen in te schatten of er risico’s zijn en meldingen voor u kan doen.
Bij een datalek met omvangrijke risico’s voor getroffenen, moet u het datalek melden aan betrokkenen door de privacy wetgeving meldplicht datalekken. De AVG vraagt de volgende dingen te verstrekken bij de betreffende:
Geef informatie op een heldere en begrijpelijke wijze. Stuur de betrokkenen dus geen juridisch epistel met allerlei wetsartikelen. De getroffenen moeten snappen wat er gebeurde en waar ze staan.
Een overzicht hiervan mailt u betrokkenen bijvoorbeeld. Bijkomend is ons advies om in het stappenplan datalek te zetten specifiek toelichting te geven aan bijvoorbeeld personeel zich te beschermen tegen mogelijke uitwerkingen van de schending die negatief zijn, zoals variëren van wachtwoorden.
Meldingen over het datalek aan betrokkenen hoeven niet binnen 72 uur plaats te vinden. Dit mag ook later. Vaak is het goed om dit te doen op het moment dat oorzaken en uitwerkingen inzichtelijk zijn. Dan informeert u betrokkenen over het lek.
Het einde van het stappenplan datalek. Alle organisaties die verantwoordelijk zijn, hebben als taak een datalekregister opstellen en bijhouden, zo stelt de AVG. Hierin staan niet afzonderlijk datalekken die u meldde bij de autoriteit, maar alle datalekken, inclusief de minder grote lekken.
Een datalek moet u te allen tijde in het datalekregister zetten. U moet deze punten opnemen in het register datalek:
Daarnaast adviseren wij als advocaat in privacyrecht om in het register te zetten om welke reden de verantwoordelijke besloot het datalek wel of niet te melden.
U kunt met deze adviezen een datalek voorkomen en bijvoorbeeld ook boetes afweren:
Hier is het stappenplan datalek die u altijd bij de hand kunt houden. We hebben alle belangrijke kennis als advocaat in privacyrecht voor u op een rij gezet.
Het massale thuiswerken brengt nieuwe uitdagingen en risico’s met zich mee, zowel voor werkgevers als…
Er is momenteel veel te doen over een vaccinatieplicht. Zowel een vaccinatieplicht opgelegd door de…
Organisaties zien de AVG (Algemene Verordening Gegevensbescherming) vaak als een belemmering binnen het bedrijf, terwijl…
VoetbalTV ontving in 2020 van de Autoriteit Persoonsgegevens (AP) een boete. Zij waren van mening dat ze met het drijven van haar onderneming enkel een winstoogmerk had. Volgens de AP kon dit niet gezien worden als een rechtmatige grondslag voor het verwerken van persoonsgegevens.
In deze blog staan wij stil bij de schade die een datalek kan veroorzaken en in het bijzonder hoe u bepaalt wat de risico’s zijn van het datalek en welke acties u aan de hand daarvan moet ondernemen.
De Privacy Officer/Privacy jurist en Functionaris Gegevensbescherming: beide zijn privacy specialisten, maar wie doet wat? Anne Peters zal het u haarfijn uitleggen in dit blog!