De meldplicht datalekken is een van de onderdelen van de Algemene Verordening Gegevensbescherming (GDPR) die vanaf mei 2018 van toepassing is.
In tegenstelling tot de huidige European Data Protection Directive worden álle ondernemingen vanaf mei 2018 door de GDPR verplicht om persoonlijke datalekken te melden. Deze meldplicht is vergelijkbaar met de Meldplicht Datalekken die in Nederland al van kracht is.
De GDPR bevat de volgende definitie van een datalek:
“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
Dat betekent dat er al sprake is van een datalek in het geval van een foutief geadresseerd mailtje met gevoelige informatie of in het geval van een gestolen usb-stick met klantgegevens.
Is er sprake van een datalek in uw organisatie? Neem dan zo snel mogelijk contact op:
Kennismaken met GDPR specialist »
Bij een datalek zijn twee entiteiten die op de hoogte gesteld moeten worden: de toezichthoudende autoriteit en de persoon (of personen) waar de data betrekking op hebben. De melding op basis van de GDPR moet binnen 72 uur na ontdekking van het datalek verstuurd worden.
De toezichthoudende autoriteit moet op de hoogte gesteld worden als er sprake is van een datalek met mogelijke risico’s voor het betrokken individu. De mogelijke risico’s moeten case-by-case beoordeeld worden. De mogelijke risico’s zijn namelijk afhankelijk van veel factoren, zoals de inhoud van het datalek, de aard van de organisatie en meer.
Het individu waar de data betrekking op hebben moet op de hoogte gesteld worden als er een hoog risico is voor de rechten en de vrijheid van het individu. Dat betekent dat de drempel voor het informeren van het individu hoger ligt dan de drempel voor het informeren van de toezichthoudende autoriteit.
De melding moet een omschrijving van het datalek bevatten (zoals het aantal individuen en/of het aantal records), evenals de contactgegevens van de verantwoordelijke functionaris voor gegevensbescherming, de mogelijke gevolgen van het datalek en de maatregelen waarmee de gevolgen zoveel mogelijk worden beperkt.
Voor de meldplicht aan het individu gelden enkele uitzonderingen. Het individu hoeft niet geïnformeerd te worden als:
De beste manier om met een datalek om te gaan is natuurlijk de preventie ervan. Denk hierbij bijvoorbeeld aan het pseudonimiseren of versleutelen van data, het beveiligen van dataverwerkende systemen en services, het regelmatig backuppen van data en het regelmatig testen van de beveiligingsmaatregelen.
Voor het verwerken van data via web services of mobiele apps heeft de Europese toezichthouder voor gegevensbescherming richtlijnen gepubliceerd waarmee onder andere datalekken voorkomen kunnen worden.
Als er onverhoopt toch een datalek plaatsvindt in uw organisatie, zorg er dan voor dat u goed bent voorbereid en binnen 72 uur de benodigde handelingen kunt uitvoeren.
Let op: op basis van andere specifieke regelgeving kunnen ook andere (kortere) meldingstermijnen gelden!
Een beknopt stappenplan ziet er als volgt uit:
Elk van bovenstaande stappen vormt onafhankelijk van elkaar een potentieel risico. Als de regels uit de GDPR worden overtreden, kunnen hoge boetes worden opgelegd.
Zorg er daarom voor dat uw organisatie goed voorbereid is op een eventueel datalek, bijvoorbeeld door de juiste preventiemaatregelen te nemen en door het inrichten van een interne rapportageprocedure.
De kennis en kunde van een GDPR-deskundige is hierbij onontbeerlijk. Neem contact op met een advocaat van internationaal advocatenkantoor time.lex voor een vrijblijvende kennismaking.