AVG: de meldplicht datalekken

AVG

AVG: de meldplicht datalekken

Zoals wij in meerdere blogs hebben vermeld, geldt sinds 2016 in Nederlands een wettelijke meldplicht bij datalekken. Onder de AVG (de nieuwe privacywet per eind mei jl.) is deze meldplicht bij datalekken blijven bestaan. Dit onderwerp is dus nog steeds actueel. In deze blog geven wij u een update over dit belangrijke privacy onderwerp.

Wat is een datalek?

Een datalek is eigenlijk niets anders dan dat persoonsgegevens in handen vallen van derden die geen toegang tot de persoonsgegevens zouden moeten hebben. Een datalek is doorgaans het gevolg van een probleem in de beveiliging. In de praktijk gaat het vaak om cyberaanvallen (‘DDoS aanvallen’) of om uitgelekte computerbestanden. Maar u kunt ook denken aan het verliezen van een bedrijfscomputer, mobiele telefoon, USB-stick of het versturen van een e-mail naar een verkeerde ontvanger waarbij persoonsgegevens gelekt worden. Dit allemaal kan een datalek zijn.

Voor u als ondernemer is het belangrijk om uw personeel van dit onderwerp op de hoogte te brengen, zodat zij op de hoogte zijn van hun verplichtingen en de gevolgen van verkeerd handelen. Als een werknemer een datalek veroorzaakt en dat niet meldt, dan loopt uw organisatie gevaar! Herkennen van een mogelijk datalek en adequaat handelen is vereist!

 

Meldplicht datalek?

Maar wanneer moet een datalek gemeld worden en aan wie? Als er sprake is van een datalek, dan moet dit binnen 72 uur (vanaf het eerste moment dat het probleem is gesignaleerd) worden gemeld bij het Meldloket van de Autoriteit Persoonsgegevens (AP). Er hoeft overigens alleen gemeld te worden als de inbreuk op de beveiliging ‘een aanmerkelijk risico oplevert tot nadelige gevolgen voor persoonsgegevens’. Dit is dus enigszins een ‘grijs gebied’. Ons advies is dan ook om doorgaans op zeker te spelen en bij een vermoeden van een dergelijk risico, de melding tijdig te doen. Daarmee voorkomt u (mogelijk) een hoge boete.

Wanneer geen meldplicht?

Er hoeft niet gemeld te worden als er bijvoorbeeld geen persoonsgegevens in het spel zijn en/of er geen sprake is van dergelijke nadelige gevolgen.

Intern documenteren datalekken (register datalekken)

Alle datalekken, dus ook de niet-meldingsplichte, dienen gelogd en bijgehouden te worden. Dit kan in een zogenoemd register datalekken gebeuren. Dit is een verplichting die rechtstreeks uit de AVG volgt en alle organisaties dienen hieraan te voldoen. Heeft u een dergelijk register (nog) niet? Neem dan eens contact met ons op. Wij kunnen in deze verplichting voorzien.

Ook kunnen wij u bijstaan als een mogelijk meldingsplichtig datalek heeft voorgedaan. Samen kunnen wij beoordelen of er een melding moet gebeuren en zo ja hoe deze melding eruit moet zien.

Juridisch advies werkgevers

Heeft u vragen over het bovenstaande of wenst u meer informatie te ontvangen over onze dienstverlening? Neem eens vrijblijvend contact met een van onze bedrijfsjuristen of advocaten op. Wij zijn u graag van dienst.

Legal8 Advocaten & Bedrijfsjuristen

088 – 88 3 8888

info@legal8.nl

www.legal8.nl

03-10-2018