Wat moet uw organisatie doen bij een datalek? – Een praktische gids volgens de AVG
Een datalek kan grote gevolgen hebben voor uw organisatie. Naast reputatieschade en verlies van vertrouwen, kan het ook leiden tot boetes van de Autoriteit Persoonsgegevens (AP). In deze blog leest u wanneer er volgens de Algemene Verordening Gegevensbescherming (AVG) sprake is van een datalek, welke stappen u moet ondernemen, en wanneer en waar u melding moet doen.
Wanneer spreekt de AVG van een datalek?
De AVG definieert een datalek als een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan of waarbij onbedoelde toegang tot, wijziging of verstrekking van persoonsgegevens heeft plaatsgevonden. Dit kan het gevolg zijn van hacking, malware, een verloren USB-stick, een verkeerd geadresseerde e-mail of een menselijke fout.
Let op: het hoeft niet te gaan om kwaadwillige opzet. Ook een onbedoelde openbaarmaking, zoals een personeelsbestand dat per ongeluk naar een verkeerde ontvanger wordt gestuurd, kwalificeert als een datalek.
Welke stappen moet u ondernemen bij een datalek?
- Onderzoek het incident direct
Stel vast wat er precies is gebeurd, welke persoonsgegevens zijn betrokken, hoeveel mensen zijn geraakt en of het lek nog actief is. Dit vereist samenwerking tussen IT, juridische zaken en eventueel communicatie.
- Beperk de schade
Neem maatregelen om verdere verspreiding of toegang tot de gegevens te voorkomen. Denk aan het intrekken van toegangsrechten, het blokkeren van accounts of het waarschuwen van betrokkenen.
- Documenteer het datalek
Volgens de AVG bent u verplicht om elk datalek te documenteren, ongeacht of het meldingsplichtig is. Noteer de aard van het lek, de gevolgen, genomen maatregelen en de overweging of er een melding is gedaan.
- Beoordeel of er een meldplicht is
Beoordeel of het datalek risico’s oplevert voor de rechten en vrijheden van betrokkenen. Is dat het geval? Dan moet u het lek melden aan de AP en mogelijk ook aan de betrokkenen.
Wanneer en waar moet u een datalek melden?
Een datalek moet binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico oplevert voor de rechten en vrijheden van natuurlijke personen. Deze melding gebeurt via het meldloket datalekken van de AP.
Als het lek waarschijnlijk een hoog risico inhoudt voor de betrokkenen (denk aan identiteitsfraude, financiële schade of stigmatisering), dan moet u ook de betrokken personen zelf informeren. Doe dit op een duidelijke, begrijpelijke en tijdige manier.
Tot slot
Een datalek is nooit helemaal te voorkomen, maar een goede voorbereiding kan de gevolgen aanzienlijk beperken. Zorg daarom voor een intern protocol, train medewerkers op veilig omgaan met data en beoordeel regelmatig uw beveiligingsmaatregelen.
Wilt u weten of uw organisatie goed is voorbereid op een datalek of heeft u hulp nodig bij de afhandeling? Neem gerust contact met ons op.