Management

Dit is een bijdrage van KPMG
Privacy
Privacymelding? Wees er bij een datalek snel bij!

Privacymelding? Wees er bij een datalek snel bij!

Van de Autoriteit Persoonsgegevens (AP) moet u een datalek zo snel mogelijk melden, maar in ieder geval binnen 72 uur.

19 april 2019
Door: KPMG, partner

Van de Autoriteit Persoonsgegevens (AP) moet u een datalek zo snel mogelijk melden, maar in ieder geval binnen 72 uur.

Zo duidelijk als die 72 uur klinkt, zoveel vragen roept het in de praktijk op. Want wanneer gaat die periode bijvoorbeeld precies in? Zo is er het moment dat u ontdekt dat bijvoorbeeld een beveiligingsincident een datalek kán zijn. En is er het moment dat u het vrij zeker weet. Inclusief een grijs gebied daartussenin. In deze blog nemen we u mee langs een aantal concrete cases om deze periode te verduidelijken.

Van vermoeden tot melding: dit zijn de regels

  • De Algemene verordening gegevensbescherming (AVG) verplicht u een datalek zo snel mogelijk, zonder onredelijke vertraging, te melden. In elk geval binnen 72 uur. Die 72 uur is bedoeld om informatie te verzamelen over de omvang van het lek en de getroffen personen. Bent u te laat, dan riskeert u een boete.
  • Is het niet duidelijk of er daadwerkelijk sprake is van een datalek, dan mag u eerst een kort vooronderzoek starten. Hierin stelt u vast of er werkelijk persoonsgegevens zijn getroffen.
  • Zo’n vooronderzoek is zeer beperkt. Richtlijnen ontbreken, maar ga ervanuit dat u daar slechts een paar uur voor hebt. Bij een ernstig incident misschien één of twee dagen. U start het vooronderzoek direct nadat u ontdekt dat er een datalek kan zijn of geweest is.
  • Overigens kunt u een melding altijd weer intrekken. Dan verandert de melding in een notificatie, en doet de AP er verder niets mee. Dus neemt u liever het zekere voor het onzekere, dan kunt u beter meteen een melding doen.
  • Constateert u – of uw Data Protection Officer (DPO) – dat er inderdaad sprake is van een datalek? Dan is uw organisatie nu ‘in kennis gesteld’ en start de klok. U hebt 72 uur om melding te doen bij de AP.  

Case 1: Hacker laat een bericht achter
Een hacker bericht u dat hij één van uw databases heeft gehackt. Dat hoeft nog niet te betekenen dat er inderdaad een datalek is – iedereen kan zo’n bericht sturen. Wel start u een vooronderzoek. Levert de hacker bewijs voor zijn inbraak of ontdekt u zelf aanwijzingen, dan gaat de 72 uur in. 

Case 2: Verkeerd verzonden brief
U verstuurt een brief met persoonsgegevens naar de verkeerde ontvanger. Wanneer hij of zij deze brief ontvangt, is er een mogelijk datalek. Stelt de ‘verkeerde ontvanger’ u op de hoogte? Dan doet u een kort vooronderzoek bij de ontvanger en als u daarbij een datalek constateert, dan start de 72 uur. Ontvangt u de verkeerd verstuurde brief geopend retour? Dan is de kans op een datalek groot. Een vooronderzoek is niet nodig, de 72 uur gaat onmiddellijk in.

Case 3: Gestolen laptop
Een laptop van een van uw medewerkers, met daarop onversleutelde persoonsgegevens, is gestolen of kwijtgeraakt. Zodra de medewerker dit bij haar of zijn leidinggevende of uw DPO meldt, is er sprake van een datalek en start de 72 uur. Zonder vooronderzoek.

Case 4: Klant vermoedt een datalek
Eén van uw klanten geeft bij u aan dat zij vermoedt dat een onbevoegde medewerker toegang heeft gehad tot haar persoonsgegevens. U start een kort vooronderzoek waarin u de logfiles controleert. Daarin ziet u dat uw klant gelijk heeft. Uw organisatie is nu ‘in kennis gesteld’ en de 72 uur gaat in.

 

Let op, het is in bovenstaande gevallen niet altijd nodig om een datalek te melden bij de AP. Dit is altijd afhankelijk van de specifieke omstandigheden van het geval. U hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. Wel kunt u een beveiligingsincident of datalek voor de zekerheid melden. Deze kunt u altijd op een later moment nog intrekken. Mocht u deze melding later willen intrekken, vergeet dan niet het datalek op te nemen in het datalekregister.

 

Zo helpt KPMG

Een goede vertrouwensrelatie met uw klanten en medewerkers is de basis van het succes van uw organisatie. Met een Data Protection Officer (DPO), oftewel een functionaris voor gegevensbescherming (FG), versterkt u die vertrouwensrelatie. Kiest u voor onze dienst DPO as a Service, dan profiteert u bovendien van flexibele inzet en altijd passende expertise. 

Geen DPO nodig, maar wel behoefte aan incidentele ondersteuning bij privacyvragen? Vraag ons dan naar de mogelijkheden van onze Privacy Helpdesk.

Met onze diensten bieden we u een complete aanpak: onze privacy-experts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw bedrijf en hanteren daarbij een pragmatische en hands-on aanpak. Met een scala aan specialismen gerelateerd aan privacy – in Nederland én in Europa – weet u zeker dat het vertrouwen van al uw relaties geborgd is.

Meer informatie

Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem contact op met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy.

Reactie toevoegen