Een datalek is niet in ieder geval grond voor paniek, maar u moet wel gelijk in actie komen om boetes voor datalekken te ondervangen. De AVG, die belangrijke privacy wetgeving bevat, verwacht namelijk nogal wat van u bij een datalak aangeven en in orde brengen van het lek om een boete te voorkomen.
Blue Legal ziet datalekken in de praktijk vaker voorkomen dan veel mensen denken. Men combineert een datalek veelvuldig met gegevens ‘die op straat zijn gekomen’. Andere situaties leveren echter evengoed een datalek op. Het is van belang dat u zich daarvan bewust bent, zodat u weet wanneer in actie te komen en wat te doen bij een datalek overeenstemmend met de wetgeving datalekken, zoals een datalek melden. En op die manier bijvoorbeeld ook boetes voor datalekken te voorkomen. We leggen het uit met ons stappenplan die u bij de hand kunt houden bij datalekken. Ook geven we als advocaat in privacyrecht tips op welke manier u een datalek kunt voorkomen.
De eerste vraag die u helder moet hebben is: wat is een datalek? Door eerst te achterhalen of u een datalek heeft, kunt u aansluitend het stappenplan lezen. Er zijn 3 datalekken te onderscheiden. Nummer 1: een datalek waarbij de vertrouwelijkheid van persoonsgegevens aangetast wordt. Hier komen er gegevens op straat te liggen bij een datalek. Bij dit datalek is toegang tot persoonsgegevens niet geoorloofd of niet gewild. Denk aan cyberaanvallen met gestolen en publiek gemaakte persoonsgegevens.
Bij het volgende datalek is de integriteit geschonden. Gegevens van personen zijn onbevoegd of onopzettelijk bewerkt: bijvoorbeeld medische informatie van een patiënt onbedoeld wijzigen, resulterend in het verkeerd voorschrijven van medicijnen.
Datalek 3: het lek waar persoonsgegevens zonder opzet vernietigd zijn, ook wel ‘inbreuk op de beschikbaarheid’ genoemd. Dit kan voorkomen wanneer een bedrijf updates draait op systemen en een aandeel van het klantenbestand of personeelsbestand verloren gaat.
Nu u weet wat een datalek is, leggen we uit wat te doen bij een lek met ons stappenplan over privacy wetgeving voor datalekken. Zoals beschreven, paniek is niet nodig. Kom wel gelijk in actie en wend boetes voor datalekken af. We leggen uit wat te doen bij een datalek. Ga deze onderdelen na om uw datalek AVG-compliant in orde te maken. Ook is het zo: voorkomen is beter dan genezen. Met onze tips aan het einde leggen we uit hoe u een datalak kunt voorkomen. Als advocaat in privacyrecht hebben we de belangrijke punten op papier gezet.
Stap 1 in het stappenplan na de gewaarwording van het lek, is schade inperken bij getroffenen. Hoe dat moet, hangt af van de stand van zaken, maar in dit stadium is het belangrijk dat als eerste de reden voor het datalek wordt aangepakt. Zorg dus dat u het datalek afsluit, mocht u dat nog niet hebben gedaan. Autoriteit Persoonsgegevens (AP) geeft u deze tips:
Vervolgens is het belangrijk een risicoanalyse ten uitvoer te brengen. De AVG legt uit dat een datalek mogelijk zorgt voor controleverlies van gegevens van personen, discriminatie, rechtenbeperking, diefstal of fraude van identiteit, financiële afbreuken, ongeoorloofde ongedaanmaking van pseudonimisering, schade aan reputatie, verlies van vertrouwelijkheid door het beroepsgeheim persoonsgegevens die bewaakt zijn of andere economische of maatschappelijke verliezen.
De privacy wetgeving over datalekken geeft aan dat risico’s bij een datalek beoordeeld moeten worden aan de hand van de volgende factoren:
Aan de hand hiervan kan beoordeeld worden wat de risico’s zijn van het datalek.
Omwille van de meldplicht in de wetgeving geldt dat u gewoonlijk het datalek moet aangeven bij autoriteiten. Bij risico’s voor getroffenen moet u een datalek vermelden en zo boetes voorkomen. Wij ervaren als advocaat in privacyrecht dat het regelmatig zo is. U hoeft daarentegen niet te melden indien de informatie versleuteld was en dus niet te begrijpen is voor derden, mits de sleutel vanzelfsprekend ook niet gelekt is.
Wanneer u tot de conclusie komt dat u een datalek moet aangeven, moet de melding volgens privacy wetgeving snel plaatsvinden. Meldingen over een datalek moeten immers zonder vertraging en, indien realiseerbaar, het langste 72 uur sinds de gewaarwording van het datalek, worden gedaan. En opgelet: het weekend telt mee in die 72 uur. Het is daarmee belangrijk om gauw te handelen volgens ons stappenplan voor een datalek om boetes voor datalekken af te weren.
U kunt ook een voorlopige melding verzenden. Heeft u nog niet de complete informatie over het datalek, kunt u aangeven dat u het later bijwerkt. Excuses om geen melding te doen zijn er dus niet, die termijn van 72 uur is erg belangrijk om o.a. boetes voor datalekken te voorkomen.
Een datalek aangeven doet u op de website van de autoriteit. Wilt u ondersteuning? Vraagt u zich af u verplicht bent het datalek aan te geven? Eén van onze privacy wetgeving specialisten staat klaar, die u kan helpen in te schatten of er risico’s zijn en meldingen voor u kan doen.
Bij een datalek met omvangrijke risico’s voor getroffenen, moet u het datalek aangeven bij betrokkenen door de privacy wetgeving rondom datalekken. De AVG vraagt de volgende dingen te verstrekken bij de betreffende:
Geef informatie op een heldere en begrijpelijke wijze. Stuur de betrokkenen dus geen juridisch epistel met allerlei wetsartikelen. De getroffenen moeten snappen wat er gebeurde en waar ze staan.
Een overzicht hiervan mailt u betrokkenen bijvoorbeeld. Bijkomend is ons advies om in het stappenplan datalek te zetten specifiek toelichting te geven aan bijvoorbeeld personeel zich te beschermen tegen mogelijke uitwerkingen van de schending die negatief zijn, zoals het variëren van wachtwoorden.
Een datalek vermelden bij betrokkenen hoeft niet binnen 72 uur plaats te vinden. Dit mag ook later. Vaak is het goed om dit te doen op het moment dat oorzaken en uitwerkingen inzichtelijk zijn. Dan informeert u betrokkenen over het lek.
Het einde van het stappenplan datalek. Alle organisaties die verantwoordelijk zijn, hebben als taak een datalekregister opstellen en bijhouden, zo stelt de AVG. Hierin staan niet afzonderlijk datalekken die u meldde bij de autoriteit, maar alle datalekken, inclusief de minder grote lekken.
Een datalek moet u te allen tijde in het datalekregister zetten. U moet deze punten opnemen in het register datalek:
Daarnaast adviseren wij als advocaat in privacyrecht om in het register te zetten om welke reden de verantwoordelijke besloot het datalek wel of niet aan te geven.
U kunt met deze adviezen een datalek voorkomen en bijvoorbeeld ook boetes voor datalekken afweren:
Hier is het stappenplan datalek die u altijd bij de hand kunt houden. We hebben alle belangrijke kennis als advocaat in privacyrecht voor u op een rij gezet.
"*" geeft vereiste velden aan
Onder de Algemene verordening gegevensbescherming (AVG) gelden er bijzondere regels voor het doorgeven van persoonsgegevens naar het buitenland. Dus binnen en buiten de Europese Unie (EU). Onder de EU vallen de 27 lidstaten. Daarnaast zijn IJsland, Liechtenstein en Noorwegen onderdeel van de Europese Economische Ruimte (EER) en deze hebben de Gegevensbeschermingsregels aanvaard.
AVG viert haar eerste lustrum! Hoe is het eerste lustrum gegaan? En hoe zal het volgende lustrum eruit gaan zien? Wij hebben helaas geen glazen bol, maar zullen u wel proberen mee te nemen in de volgende 5 jaar van de AVG.
Open AI, Chat GPT… wie kent het niet! De vraag die nog speelt: staat ChatGPT niet op gespannen voet met het Intellectueel Eigendomsrecht?
