Hoe ziet een verplichte datalekmelding eruit?

10 april 2019
Vanaf januari 2016 is het al verplicht om grote en risicovolle datalekken te melden aan de Autoriteit Persoonsgegevens (AP). Maar sinds 25 mei 2018 moet intern worden gedocumenteerd welke datalekken er zijn geweest, ook als het gaat om kleine kwesties. In een datalekmelding moeten de feiten, de gevolgen en de genomen maatregelen worden vermeld.
Wat is een datalek?
Er is sprake van een datalek wanneer er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking, dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Voorbeelden van datalekken zijn een kwijtgeraakte usb-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Ook printjes in de papierbak of een e-mail waarbij per ongeluk de verkeerde mensen in de CC staan, kunnen een datalek vormen.
 
De Autoriteit Persoonsgegevens heeft 10 tips voor het bijhouden van datalekken:
  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig.
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister.
  3. Voorkom versnippering van registraties.
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate. Overheidsorganisatie hebben verplicht een FG, voor de meeste cumelabedrijven is het niet nodig.
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd. Let op: melding is niet altijd verplicht.
  6. Wees transparant richting getroffen personen als er een datalek is geweest.
  7. Stel een handleiding op, of verzorg een training, voor de medewerkers die de datalekregistratie invullen.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij het datalek.
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen.
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. 
 
Hulp nodig?
Heeft u nog vragen? Neem contact op met de ondernemerslijn, via tel: 033 - 247 49 99 of per e-mail ondernemerslijn@cumela.nl, of neem contact op met de afdeling Juridische Zaken van CUMELA Advies.
 
Lees ook:
 
Auteur: Geralde van de Bunt