Voor een organisatie die persoonsgegevens verwerkt is een goed protocol meldplicht datalekken essentieel. Het protocol helpt je om snel en effectief te handelen als er een datalek plaatsvindt.
In dit artikel bespreken we hoe je een protocol kunt opstellen en geven we een voorbeeld van zo'n protocol.
Een protocol meldplicht datalekken is een document dat jouw organisatie helpt bij het omgaan met datalekken. Dergelijk protocol is essentieel volgens de Algemene Verordening Gegevensbescherming (AVG) en de nationale Wet Bescherming Persoonsgegevens. In dit protocol staat beschreven wat de procedure is bij een datalek en wie verantwoordelijk is voor het melden van een datalek. Het opstellen van zo'n protocol biedt niet alleen juridische bescherming, maar helpt ook om snel en efficiënt te reageren in gevallen van datalekken.
Je moet een datalek binnen de 72 uur melden bij de Autoriteit Persoonsgegevens (AP) als er sprake is van een risico voor de rechten en vrijheden van de betrokkenen. Daarnaast is het mogelijk dat je de betrokkenen zelf moet informeren, vooral als het gaat om bijzondere persoonsgegevens.
Een goed protocol bevat doorgaans de volgende zaken:
Het document zorgt ervoor dat alle medewerkers weten wat ze moeten doen zodra er een datalek plaatsvindt. Hierdoor kan de schade beperkt blijven en voldoet jouw organisatie aan de AVG en andere relevante wetgeving.
Wanneer je een datalek meldt, moet je:
Het is ook verplicht om betrokkenen te informeren over het datalek, indien hieraan aanzienlijke risico’s verbonden zijn. Zorg ervoor dat je altijd een bijgewerkt datalekregister bijhoudt, zodat je een overzicht hebt van alle incidenten en hoe deze zijn afgehandeld. Dit is onder de AVG een verplichting voor iedere verwerkingsverantwoordelijke.
Zorg er ook voor dat er een bewerkersovereenkomst is met derde partijen die jouw gegevens verwerken.
Een protocol meldplicht datalekken is noodzakelijk wanneer er sprake is van een beveiligingsincident waarbij persoonsgegevens per ongeluk of onrechtmatig zijn verwerkt.
Voorbeelden van een datalek zijn:
De Autoriteit Persoonsgegevens (AP) eist dat je een datalek binnen 72 uur meldt. Als je deze termijn niet haalt, riskeer je een hoge boete.
In sommige situaties, zoals bij een telecombedrijf, geldt ook de Telecommunicatiewet, die specifiekere regels voor datalekken kan bevatten. Een duidelijke meldprocedure is van belang om te voldoen aan de eisen van de European Data Protection Board en de AP.
Het kan een hele uitdaging lijken om een protocol meldplicht datalekken op te stellen, maar door het volgen van enkele duidelijke stappen kan je jouw organisatie goed voorbereiden.
Hieronder vind je deze stappen.
Zorg ervoor dat je de specifieke vereisten van de AVG en UAVG kent. Dit helpt je om een document op te stellen dat voldoet aan alle wettelijke verplichtingen.
Stel duidelijk vast wie verantwoordelijk is voor de verschillende taken binnen het protocol. Dit omvat het identificeren van wie datalekken meldt, wie onderzoek doet en wie communiceert met de Autoriteit Persoonsgegevens.
Beschrijf hoe jouw organisatie een datalek detecteert. Benoem de tools, zoals hashing en encryptie, die gebruikt worden om gegevens te beschermen. Geef ook aan binnen hoeveel uur een lek moet worden gemeld.
Leg uit welke preventieve maatregelen genomen worden om datalekken te voorkomen. Dit kan versleuteling, sterke authenticatiemiddelen en regelmatige beveiligingsreviews omvatten.
Beschrijf de directe acties bij een datalek. Dit omvat het onderzoeken van het datalek, het bepalen van de impact en het nemen van gepaste maatregelen om verdere schade te voorkomen.
Stel een duidelijk stappenplan op voor hoe en wanneer je de betrokkenen informeert over een datalek. Transparantie is hier cruciaal. Zorg ervoor dat de communicatie duidelijk en behulpzaam is.
Houd een datalekregister bij waarin je alle incidenten registreert, inclusief details over de getroffen gegevens en de genomen maatregelen. Dit register helpt bij de evaluatie en verbetering van jouw procedures.
Bespreek hoe het protocol regelmatig wordt geëvalueerd en bijgewerkt. Zorg ervoor dat wijzigingen in de wetgeving of in de organisatie worden opgenomen in het protocol.
Niet alle datalekken moeten worden gemeld. Alleen datalekken die een risico vormen voor de rechten en vrijheden van betrokkenen moeten gemeld worden aan de Autoriteit Persoonsgegevens. Dit betekent dat als er kans is op nadelige gevolgen, zoals financiële schade of onrechtmatig gebruik van gegevens, je verplicht bent om melding te maken. Kleine incidenten zonder risico hoeven niet gemeld te worden.
Een datalek moet zo snel mogelijk, en uiterlijk binnen 72 uur nadat het is ontdekt, worden gemeld. Als je dit niet binnen deze termijn kunt melden, moet je de redenen voor de vertraging toelichten. Het is cruciaal snel te handelen, zodat de risico’s voor betrokkenen beperkt blijven en eventuele schade kan worden geminimaliseerd.
In Nederland moeten datalekken gemeld worden bij de Autoriteit Persoonsgegevens (AP). Dit doe je via het meldingsformulier op hun website. Bij ernstige incidenten dien je ook de betrokkenen te informeren. Vooral wanneer het datalek waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. Het doel is om hen in staat te stellen passende maatregelen te nemen om zichzelf te beschermen.
Bij een datalek kunnen de rechten en vrijheden van individuen in gevaar komen door bijvoorbeeld identiteitsdiefstal, financiële verliezen, reputatieschade of discriminatie. Het is belangrijk dat je nagaat welke informatie gelekt is en wat de mogelijke gevolgen zijn. Voor elk datalek moet je inschatten hoe groot het risico is en welke schade de betrokkenen kunnen ondervinden, zodat je passend kunt reageren.
Ja, organisaties zijn verplicht een datalekregister bij te houden. Hierin moet je elk datalek documenteren, ongeacht of het gemeld is bij de Autoriteit Persoonsgegevens of niet. Het register bevat details zoals de oorzaak, gevolgen en genomen maatregelen. Dit helpt bij het opvolgen van incidenten en het verbeteren van de bescherming van persoonsgegevens in de toekomst.