AVG tips: Meldplicht datalek

Zoals we in de vorige AVG tip bespraken is het uw verantwoordelijkheid om te letten op uw laptop/pc en smartphone. Wanneer daar persoonsgegevens op staan van klanten en u raakt deze devices kwijt doordat ze bijvoorbeeld worden gestolen spreken we van een datalek.
Dus zowel een grootschalige inbraak, diefstal of onbevoegd gebruik van persoonsgegevens telt als een datalek.
Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, zijn geen datalekken. Als de broncode van uw nieuwe software wordt ontvreemd, of een lijst met bedrijfsnamen uit uw relatiebeheerpakket wordt gekopieerd, dan valt dat bijvoorbeeld buiten deze wet.
Gelukkig hoeft niet elk datalek te worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken zonder onnodige vertraging bij de toezichthouder gemeld moeten worden door de verwerkingsverantwoordelijke.

Maar wat is een nu een ernstig lek?
Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie:

  • inloggegevens
  • financiële gegevens
  • kopieën van identiteitsbewijzen
  • school- of werkprestaties
  • gegevens die betrekking hebben op levensovertuiging
  • gegevens die betrekking hebben op gezondheid

Waar moet ik het melden?
Wilt u een datalek melden dan kunt u dat hier doen:
U dient zelf een overzicht te bewaren van alle feiten omtrent het datalek.

Moet een bewerker datalekken melden?
Een bewerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de bewerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken.

Hoe kunt u zich voorbereiden?
Stel een procedure op zodat u wanneer het voorkomt, meteen weet wat u moet doen.
Inventariseer ook wie uw gegevens verwerken en of u een overeenkomst met hen heeft afgesloten.