We spreken van een datalek indien sprake is van toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van de organisatie. Denk aan de GGD waarbij privégegevens van zo’n 1.250 Nederlanders uit de coronasystemen door onbevoegden waren ingezien, gestolen en doorverkocht. Andere voorbeelden zijn het versturen van een e-mail naar een verkeerd e-mailadres of het kwijtraken van een usb-stick met daarop persoonsgegevens.
Indien zich een datalek in uw organisatie voordoet, is het belangrijk dat u weet hoe u in een dergelijk geval moet handelen. In het onderstaande zal ik de belangrijkste maatregelen op een rijtje zetten.
Zorg voor overzicht en beperk de schade
Indien binnen uw organisatie een datalek wordt ontdekt, is het belangrijk dat de ontdekker weet bij wie hij of zij dit intern moet melden. Dit kan een Functionaris voor de Gegevensbescherming zijn, maar ook iemand anders die binnen de organisatie verantwoordelijk is voor de privacy. Na de melding dient vervolgens zo spoedig mogelijk te worden geanalyseerd wat er is gebeurd en wat de omvang van het datalek is. Bepaal daarna of er maatregelen getroffen moeten worden om het datalek te beëindigen en de schade te beperken, zoals het wissen van gegevens op afstand.
Om voormeld proces soepel te laten verlopen, is het aan te raden om een protocol datalekken te hebben en deze aan alle medewerkers toe te sturen. In dit protocol staat onder meer wie het eerste aanspreekpunt is, de termijn waarbinnen de medewerker melding moet maken, welke vervolgstappen getroffen moeten worden, de wijze waarop het datalek wordt geregistreerd enzovoort. Een dergelijk protocol biedt houvast zodra zich daadwerkelijk een datalek voordoet.
Melden bij de Autoriteit Persoonsgegevens
In het geval van een datalek zal u moeten nagaan of u het datalek moet melden bij de Autoriteit (AP). U dient een datalek te melden bij de AP tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de vrijheden van de betrokken personen. Komt u tot de conclusie dat u het datalek moet melden? Dan dient u dit binnen 72 uur nadat het datalek is ontdekt te melden.
Melden bij de betrokken personen
Naast het melden bij de AP, dient u na te gaan of u de betrokkene(n) van het datalek op de hoogte moet stellen. U dient een datalek te melden indien het datalek waarschijnlijk een hoog risico voor de rechten en vrijheden van de betrokken personen oplevert. Om dit te bepalen, kunt u onder meer kijken of het datalek kan leiden tot materiële of immateriële schade voor de betrokkene(n).
Registreer het datalek
Ieder datalek, groot of klein en ongeacht de vraag of dat het datalek gemeld moet worden, dient intern geregistreerd te worden in een datalekregister. Hierin dient onder meer een omschrijving van het datalek te worden opgenomen. Daarnaast dient te worden geregistreerd wat de mogelijke gevolgen zijn, om welke persoonsgegevens en betrokkene(n) het gaat en welke maatregelen er zijn getroffen.
Conclusie
Het zal niet altijd makkelijk zijn om te bepalen of u een datalek moet melden bij de AP en de betrokkene(n) en welke (vervolg)stappen u dient te nemen. Wij denken in dat geval uiteraard graag met u mee. Ook bij het opstellen van een protocol datalekken helpen wij u graag. Neemt u hiervoor vrijblijvend contact op met onze Vakgroep Privacy en Recht.