Een datalek: weet uw secretaresse ook wat haar te doen staat?
Uber, de Kamer van Koophandel, Vakantieveilingen.nl; wat hebben deze bedrijven en organisaties met elkaar gemeen? Ze hebben allemaal te maken gehad met een aanzienlijk datalek dat breed is uitgemeten in de media.
Het is het topje van de ijsberg want vorig jaar zijn er bij de Autoriteit Persoonsgegevens ongeveer 20.000 meldingen gedaan van een datalek.
Wat is nu een datalek?
In de Algemene Verordening Gegevensbescherming (AVG) is een uitgebreide definitie opgenomen van een datalek maar in de kern komt het erop neer dat persoonsgegevens ergens terecht komen waar ze niet horen. Of dat nu per ongeluk gebeurt of door externe factoren is niet van belang. Bekende voorbeelden van een datalek zijn het verlies van een usb-stick of van een wachtwoord, maar ook ransomware (gijzelingssoftware), een verkeerd geadresseerde e-mail of verkeerde bijlage, of een cc in plaats van een bcc kunnen een datalek opleveren.
Wat staat u te doen als u ermee wordt geconfronteerd?
Wat u te doen staat is afhankelijk van uw rol en van de risico’s van het lek. Bent u verantwoordelijke in de zin van de AVG dan dient u het lek binnen 72 na de ontdekking te melden bij de Autoriteit Persoonsgegevens. U kunt dat echter achterwege laten wanneer er redelijkerwijs geen nadelige gevolgen zijn te verwachten van het lek. Wanneer is dat het geval? Hierbij is het ‘gezonde verstand’ richtinggevend: gaat het om een enkel e-mailadres dat bij de verkeerde persoon is beland, dan levert dat minder risico op dan wanneer creditcardgegevens of een wachtwoord op straat belanden. Zijn er juist grote risico’s te verwachten, dan dient u ook de betrokkene zelf te informeren. U dient hem of haar onverwijld te laten weten wat de aard is van de inbreuk en wat de gevolgen ervan kunnen zijn, welke maatregelen er getroffen worden en bij wie meer informatie kan worden verkregen.
Meldplicht en registratie
Als verwerker – een bedrijf of organisatie dat slechts in opdracht persoonsgegevens verwerkt – mag u geen melding bij de Autoriteit Persoonsgegevens doen of de betrokkene informeren. U dient wél de verantwoordelijke op de hoogte te stellen. Verder zijn zowel verantwoordelijke als verwerker verplicht om het lek intern te documenteren. Dit datalek-register kan worden opgevraagd door de Autoriteit Persoonsgegevens.
Handleiding
In uw organisatie dient iedereen op datalekken voorbereid te zijn. Zo dient ook uw ondersteunend personeel te weten wanneer iets een datalek oplevert, hoe men moet handelen en welke termijnen er gelden. Wij hebben daarom een beknopte handleiding ontwikkeld die u onder uw personeel kunt verspreiden. Vraag er gerust naar.
auteur: mr. M. van Olden
Auteur:
Max van Olden
Als advocaat probeer ik verder te kijken dan de juridische puzzel van het dossier. Ik stel mijzelf vragen als: wie is de cliënt, wat zijn zijn of haar doelen, welke belangen spelen op de lange termijn? Wie is de wederpartij? En is een schikking haalbaar en verstandig of rest slechts de weg naar de rechter? Ik vind het belangrijk om het gebied te overzien voordat ik de route uitstippel.