AVG en Datalekken
Sinds januari 2016 is het verplicht om datalekken te melden bij de Autoriteits Persoonsgegevens, wanneer het een relatief groot datalek betreft. Deze meldplicht blijft onder de AVG grotendeels hetzelfde. Echter verandert er een belangrijk onderdeel in uw eigen registratie van deze datalekken, binnen de AVG moet u namelijk alle (mogelijke) datalekken binnen uw organisatie ook zelf noteren. Ook als het gaat om kleine incidenten.
Wat is een datalek?
Bij een datalek denkt u wellicht slechts aan een groot lek waarbij alle e-mailadressen, creditcardgegevens en wachtwoorden van een groot systeem op straat komen te liggen door middel van een hack. Maar ook een incident waarbij een USB-stick met persoonsgegevens kwijt is geraakt, de computer op een scherm is blijven openstaan waar ongeautoriseerden toegang hebben kunnen krijgen, gegevens versturen naar een foutief e-mailadres of een virus of hack op uw computer is een (potentieel)datalek. Het wordt namelijk gedefinieerd als: "Iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien."
Datalak documenteren
U moet dus alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Het noteren van deze datalekken kunt u binnen AVG Cloud Register doen.
De Europese privacytoezichthouders hebben in oktober 2017 guidelines gepubliceerd over de meldplicht datalekken onder de AVG. Deze guidelines zijn nog niet definitief, maar staan open voor publieke consultatie. Hierdoor kunnen wij u nog niet definitief informeren over hoe de handhaving van datalekken zal worden opgepakt door de AP. Wanneer de guidelines definitief zijn, kunnen wij u volledig informeren over de meldplicht datalekken onder de AVG.
Meldplicht voor alle datalekken
De afweging maken is in de nieuwe AVG weliswaar eerder gecompliceerder geworden, dan gemakkelijker. Het melden van een datalek aan de Autoriteit Persoonsgegevens en/of betrokkenen, is niet altijd benodigd. Paar kernpunten om in overweging te nemen:
- Wanneer u als verwerkingsverantwoordelijke hoort van een datalek, dan moet u deze zo snel mogelijk, maar in ieder geval binnen 72 uur melden aan de AP. Doet u dit niet, dan moet u daar een goede reden voor kunnen onderbouwen.
- U moet goede afspraken maken met uw verwerker, indien hij/zij een datalek signaleert.
- De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
- Wanneer uw bedrijf encryptie en pseudonimisering heeft gehanteert, en de persoonsgegevens daardoor niet te herleiden zijn naar een natuurlijk persoon, dan hoeft u het incident waarschijnlijk niet te melden aan het AP.
- Heeft een incident mogelijk ernstige nadelige gevolgen voor de betrokken personen. Dan moet u het ook aan het melden.
Rol van AVG Cloud Register
AVG Cloud Register B.V. assisteert via een online oplossing in het registreren van datalekken. Wilt u echter advies over hoe en of u een potentieel datalek moet melden aan de Autoriteit Persoonsgegevens of de betrokken, dan raden we u aan gespecialiseerde juridisch advies in te winnen.