Naar de hoofdinhoud Naar de navigatie
Home      Ledennet      Kennisbank      Meldplicht datalekken

Inloggen Ledennet

De opgevraagde pagina is alleen beschikbaar voor leden. U kunt hieronder inloggen om door te gaan.
Wachtwoord vergeten?
Ga naar de homepagina
Terug naar overzicht
Kennisdocument

Meldplicht datalekken

30 januari 2024

Meldplicht datalekken
 De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheerst) direct een melding moet doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moet zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Bij een datalek gaat het om toegang tot vernietiging, wijziging van vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Een voorbeeld is bijv. een verloren geraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand. Lekken waarin andere gegevens dan persoonsgegevens verloren zijn beschadigd of gestolen worden, zijn geen datalekken. Als een lijst met bedrijfsnamen uit uw relatiebeheerpakket wordt gemaakt, dan valt dat bijvoorbeeld buiten deze wet.

Bij de Autoriteit Persoonsgegevens zijn de beleidsregels over de meldplicht datalekken beschikbaar. De beleidsregels helpen organisaties bij het vaststellen of er is sprake van een datalek dat zij moeten melden bij de Autoriteit Persoonsgegevens en besluiten aan de betrokkenen.

Klik hier  voor informatie over de meldplicht datalekken  van de Autoriteit Personeelsgegevens.

Wanneer moet u een datalek melden aan de toezichthouder?
Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking, bij de toezichthouder gemeld moet worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie: inloggegevens, financiële gegevens, suggestie van identiteitsbewijzen, gegevens die betrekking hebben op ras, gezondheid van werkprestaties.

Wanneer moet u een datalek melden aan de getroffen personen?
Indien het datalek waarschijnlijke nadelige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn (bijv. identiteitsfraude of reputatieschade), dient u – naast de melding aan de toezichthouder – het lek tevens onverwijld te melden aan de personen waarvan de gegevens zijn gelekt.

Mededeling aan betrokkenen
 Wanneer u betrokken bent moet informeren over de beïnvloeding, dient die kennisgeving in ieder geval de volgende elementen te bevatten:

  • een beschrijving van de aard van de aangetast;
  • de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden aangetroffen;
  • de waarschijnlijke gevolgen van de gevolgen voor betrokkenen;
  • de maatregelen die u heeft voorgesteld of genomen om de maatregelen aan te pakken, waaronder de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

U dient de kennisgeving aan te nemen in eenvoudige en eenvoudige taal op te stellen.
In deze handleiding van het Ministerie van Justitie en Veiligheid staat op pagina 65 onder 5.9.5 een checklist die u kunt gebruiken bij het opstellen van de briefing en/of e-mailrichting betrokkenen.

Wanneer moet u een datalek niet melden?
U geen melding te doen aan de Autoriteit Persoonsgegevens indien effectieve technische en functionele maatregelen worden getroffen, waardoor een feitelijke identificatie van individuele natuurlijke personen redelijkerwijs wordt uitgesloten. Een datalek hoeft niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar/onbegrijpelijk/ontoegankelijk zijn. Hiervan is bijvoorbeeld bijvoorbeeld wanneer de persoonsgegevens versleuteld zijn of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop. De beoordeling van een gemelde datalek moet aan de toezichthouder en/of de getroffen personen zijn, ligt bij de verantwoordelijke.

Hoe dient u een datalek te melden?
Op de website van de Autoriteit Persoonsgegevens is een meldformulier datalekken  beschikbaar.

Welke informatie moet u over een datalek bewaren?
De AVG verplicht u om binnen uw organisatie alle datalekken vast te leggen, te documenteren en in uw administratie te bewaren. Dit overzicht moet de feiten en gegevens van het lek bevatten. Denk aan de oorzaak van het lek, de soort gegevens die gelekt zijn, het moment dat het lek ontdekt wordt en op welke wijze het lek gedicht is/de maatregelen genomen. Als u het datalek ook aan de getroffen personen heeft gemeld, is het belangrijk de communicatie daarover te bewaren. Voor het bewaren van de voornoemde gegevens dient u uit te gaan van een minimale bewaartermijn van één jaar.

Datalekregister
 Elke organisatie die verwerkingsverantwoordelijke is volgens de Algemene Verordening Gegevensbescherming is, moet volgens de privacywet een datalekregister opstellen. Hierin houdt u bij welke verstoorden er in uw organisatie zijn geweest. Het doel van het datalekregister is dat u als organisatie leert van uw eerdere datalekken en maatregelen neemt om de kans op nieuwe datalekken te verminderen. Daarnaast kunt u met uw datalekregister aan de Autoriteit Persoonsgegevens (AP) laten zien dat u zich houdt aan de meldplicht datalekken. U mag zelf bepalen welke vorm uw register heeft, terwijl u maar de verplichte informatie erin opneemt.

Om u op weg te helpen heeft de AP een checklist opgesteld met 10 tips voor het professioneel fotograferen van datalekken .

Moet een bewerker datalekken melden?
Is het verwerken van persoonsgegevens uitbesteed aan een derde partij, dan is er sprake van een bewerker; een clouddienstverlener die updates afgelopen op software, een hostingprovider, of een externe personeelsdienst. Een bewerker hoeft geen datalek te melden bij de toezichthouder. Wel moet de bewerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken. Er zullen daarom schriftelijke afspraken moeten worden gemaakt waarin wordt vastgelegd op welke wijze de klanten door de bewerker op de hoogte worden gesteld van een datalek. Deze afspraken kunnen worden opgenomen in een bewerkersovereenkomst.

Ransomware
 Bij het beïnvloeden van de beveiliging waarbij ransomware wordt aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
Dit houdt in dat organisaties het datalek bij de Autoriteit Persoonsgegevens moet melden als dit leidt tot schadelijke nadelige gevolgen voor de bescherming van persoonsgegevens. Er bestaat een aanzienlijke kans dat dit gebeurt.

Wat kunt u doen ter voorkoming van een datalek?
Het is een open deur om dat adequate informatiebeveiliging te schrijven, de een of andere manier is om de kans op een datalek te experimenteel te maken. Elders op de ledensite treft u informatie aan over informatiebeveiliging en bijv. de NEN-normen die daarbij ten dienste staan.

Van de informatiebeveiligingsdienst van de gemeenten, nemen we de volgende tips mee:

  • Registreer alle gegevensverzamelingen en vermeld wat er met betrekking tot informatiebeveiliging is gedaan. Zorg voor passende procedures en technische maatregelen om een ​​datalek te kunnen ontdekken. Denk aan de incidentprocedure, logging en monitoring/analyse van de logging
  • Richt een incidentmanagementproces om ervoor te zorgen dat bij incidenten tijdig en effectief kan worden ingezet.
  • Zorg voor huishoudelijke bij medewerkers. Ook zij dienen te weten wat datalekken zijn, hoe de incidentprocedure werkt en wat de gevolgen kunnen zijn van een datalek voor de organisatie
  • Sluit/pas de bewerkersovereenkomsten vanwege Meldplicht Datalekken aan (zie de link hierboven)
  • Noem expliciet verantwoordelijken en hun verantwoordelijkheden in uw informatiebeveiligingsbeleid en doe een privacy-impactanalyse.

U kunt ook overwegen om te certificeren conform de NEN 7510.