De Autoriteit Persoonsgegevens (AP) heeft in 2018 meer dan 20.000 meldingen ontvangen van datalekken binnen organisaties. Dit is een verdubbeling ten opzichte van het aantal datalekken in 2017.
In een persbericht van 29 januari geeft de AP aan meer actie te gaan ondernemen in geval van een datalek. Vooral niet gemelde datalekken krijgen prioriteit. In dit bericht leggen wij uit wat een datalek precies is en wat u moet doen op het moment dat er binnen uw organisatie sprake is van een datalek.
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot deze gegevens.
Een datalek kan zich voordoen in vele soorten en maten. Stelt u zich eens voor dat u een mailtje naar een klant stuurt en later merkt dat u het foute e-mailadres heeft gebruikt. Of dat u terugkomt bij de auto en ontdekt dat uw laptop met vertrouwelijke informatie is gestolen. Dit zijn allemaal voorbeelden van potentiële datalekken waar u als verwerkingsverantwoordelijke actie op moet ondernemen.
Meldplicht
Een van deze acties is de meldplicht. Op grond van de Algemene Verordening Gegevensbescherming (AVG) dient een datalek binnen 72 uur te worden gemeld bij de Autoriteit Persoonsgegevens. Op deze manier kan de AP nagaan of het datalek op een passende wijze is aangepakt. Is dit niet het geval, dan kan de AP haar handhavende bevoegdheden inzetten. Zo kan zij aanwijzingen geven over hoe u uw verwerking van persoonsgegevens in overeenstemming kunt brengen met de AVG. In het ergste geval zal er een boete worden opgelegd wegens niet-naleving van de verordening.
Naast de meldplicht bij de AP dient u in sommige gevallen ook de betrokken personen te informeren over het datalek. Op deze manier kunnen zij adequate maatregelen treffen om verdere verspreiding van hun persoonsgegevens te voorkomen. Verder dient u een register bij te houden van de datalekken die zich in uw organisatie hebben voorgedaan.
Conclusie
Als verwerkingsverantwoordelijke bent u verplicht alle datalekken die een risico inhouden voor de rechten en vrijheden van natuurlijke personen te melden bij de Autoriteit Persoonsgegevens. Doet u dit niet, dan loopt u het risico dat op een later moment een boete wordt opgelegd.
Omdat de AP heeft aangegeven in 2019 meer te gaan focussen op niet gemelde datalekken, is het van belang dat u altijd goed controleert of een datalek gemeld moet worden of niet.
Twijfelt u of u een datalek moet melden bij de Autoriteit Persoonsgegevens? Neem dan contact op met een van onze specialisten van team Privacy.
