Wanneer moet je een datalek melden?
Is er sprake van een datalek? Dan moet je dit melden bij de Autoriteit Persoonsgegevens (AP). Alleen als het niet waarschijnlijk is dat er een risico is voor de betrokkenen (de mensen van wie de persoonsgegevens zijn), hoef je een datalek níet te melden.
Het inschatten van dit risico moet een organisatie zelf doen. Hierbij kijk je naar hoe waarschijnlijk het is dat dit risico zich voordoet. En wat de impact is (zoals de gevolgen voor de betrokkenen) als dit inderdaad gebeurt. Een datalek is bijvoorbeeld risicovol als het om een grote hoeveelheid persoonsgegevens gaat. Of als het gevoelige persoonsgegevens betreft, zoals medische informatie of kopieën van paspoorten.
Je moet een datalek binnen 72 uur na ontdekking melden. Let op: deze termijn loopt altijd door, dus ook in het weekend, ‘s nachts en op feestdagen.
Twijfel je of iets een datalek is? Neem dan het zekere voor het onzekere en meld het datalek als voorlopig datalek bij de AP. Als een datalek onterecht niet wordt gemeld (of te laat wordt gemeld), kan de AP een boete opleggen.
Bij wie moet je een datalek melden?
Afhankelijk van het risico en de branche waarin jouw organisatie zit, meld je het datalek op meerdere plekken.
- Je meldt een datalek bij de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat er een risico is.
- Brengt het datalek waarschijnlijk een hoog risico mee voor de betrokkenen? Dan meld je het ook bij deze personen. Bij een hoog risico kun je denken aan de kans op identiteitsfraude, reputatieschade of gelekte medische informatie.
Er zijn een paar uitzonderingen waarbij je een datalek niet hoeft te melden bij de betrokkenen, ook al is er een hoog risico. Bijvoorbeeld als je achteraf maatregelen hebt getroffen waardoor het hoge risico is weggenomen. En financiële instellingen hoeven een datalek niet te melden aan betrokkenen, omdat dit anders ongewenste gevolgen kan hebben (zoals een bankrun).
- In sommige sectoren meld je een datalek ook bij de sectorspecifieke toezichthouder zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB).
In de praktijk zien wij dat datalekken vaak alleen bij de AP gemeld moeten worden en dus niet aan de betrokkenen.
Hoe moet je een datalek melden?
Een melding bij de Autoriteit Persoonsgegevens gaat online via een uitgebreid formulier. Denk aan de termijn van 72 uur!
Ben je verplicht om ook de betrokkenen te informeren over het datalek? Dan is het verstandig om dit schriftelijk (per brief of e-mail) te doen. En in ieder geval op een manier waarop je gewend bent om met hen te communiceren.
Wie meldt een datalek: de verwerker of de verwerkingsverantwoordelijke?
De verwerkingsverantwoordelijke meldt het datalek, tenzij er met de verwerker andere afspraken zijn gemaakt.
Let op de volgende aandachtspunten:
- Maak je gebruik van een verwerker, zoals een websitehost? Als deze verwerker een datalek ontdekt, gaat de wet ervan uit dat jij (als verwerkingsverantwoordelijke) óók op dat moment weet van het datalek. De meldingstermijn van 72 uur gaat dan dus lopen. Zelfs als de websitebeheerder het datalek niet bij jou meldt…Het is dus heel belangrijk om hierover goede schriftelijke afspraken te maken.
- Soms zijn er 2 of meerdere verwerkingsverantwoordelijken: leg in jullie overeenkomst vast wie een datalek meldt.
Waarom moet je een datalek melden?
Het simpele antwoord: omdat het wettelijk verplicht is. Het is een stok achter de deur om ervoor te zorgen dat organisaties zorgvuldig omgaan met persoonsgegevens.
Om je een gevoel te geven bij het aantal datalekmeldingen bij de AP: in 2021 waren het er bijna 25.000. Het kan dus echt elke organisatie overkomen.
Moet je datalekken zelf registreren?
Je moet een register bijhouden van alle datalekken. Dus ook van de datalekken die je niet bij de Autoriteit Persoonsgegevens hoeft te melden.
Daarnaast moet je een register van niet-datalekken bijhouden. Daarin staan de beveiligingsincidenten waarvan je eerst dacht dat het mogelijk een datalek was, maar na onderzoek bleek dat dit niet het geval was.
Deze registers zorgen voor inzicht én moet je laten zien op verzoek van de Autoriteit Persoonsgegevens.
Datalek melden: een stappenplan
1. Zorg dat je inzicht krijgt in de situatie: wat is er precies aan de hand?
-
- Om wat voor soort datalek gaat het, en wanneer is het ontdekt?
- Welke persoonsgegevens zijn gelekt?
- Wat is de oorzaak van het datalek, en bestaat het lek nog steeds?
- Zijn er maatregelen waardoor onbevoegden niet bij de gelekte persoonsgegevens kunnen komen, bijvoorbeeld door versleuteling?
2. Neem maatregelen om de schade te beperken. Denk aan het op afstand wissen van een laptop of het blokkeren van de toegang tot een account.
3. Breng het risico voor de betrokkenen in kaart.
4. Ga na of je het datalek moet melden bij de Autoriteit Persoonsgegevens en betrokkenen, en doe dit op tijd.
5. Registreer het datalek in je eigen datalekregister.
Juridisch en strategisch advies bij een datalek
Hulp nodig op het gebied van datalekken? Bijvoorbeeld om te bepalen of iets een datalek is, en waar je deze moet melden? Of wil je juridisch en strategisch advies bij de melding zelf? Neem dan contact met ons op. Wij denken met je mee en adviseren over de communicatie met toezichthouder en betrokkenen.
Daarnaast zoeken we uit wat er gebeurd is en vooral hoe je dit in de toekomst voorkomt. Kortom: wij staan naast je in dit traject.