De meldplicht datalekken houdt in dat organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Je moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Wanneer je dat niet doet ben je waarschijnlijk in overtreding.
Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldloket datalekken.
Het invullen van het meldformulier duurt ongeveer 15 – 30 minuten. Zorg dat je de volgende informatie bij de hand heeft:
- Contactgegevens van de contactpersoon en, indien van toepassing, de Functionaris Gegevensbescherming (FG)
- Relevante begeleidende documentatie en rapportages, indien beschikbaar (in pdf). Bijvoorbeeld:
- de onderzoekrapportage (bijvoorbeeld naar aanleiding van een malware of hacking incident);
- een kopie van de melding aan de betrokkene(n).
Je bent verplicht om alle vragen te beantwoorden, tenzij anders aangegeven.
Nieuwe functionaliteiten
Het nieuwe meldformulier heeft nieuwe functionaliteiten:
- Het formulier bepaalt op basis van de antwoorden die je invult welke vragen worden getoond. Zo hoef je alleen de voor jou relevante vragen te beantwoorden.
- Je kunt het formulier tussentijds opslaan en op een ander moment verdergaan met de melding.
- Je kunt een sjabloon maken voor veelvoorkomende datalekken of een datalek dat zich in een korte tijd vaak voordoet. Zo hoef je bepaalde delen van het formulier niet bij elke melding opnieuw in te vullen.
- Het aanvullen van een eerdere melding is eenvoudiger geworden. Je hoeft hiervoor niet meer het hele meldformulier opnieuw in te vullen.
Datalek niet kunnen melden?
Vanwege de overgang naar het nieuwe formulier was het meldloket datalekken van vrijdag 28 mei tot en met maandag 31 mei 2021 gesloten.
Mogelijk heb je een datalek daardoor niet op tijd kunnen melden. De AP houdt daar rekening mee. Je hebt tot en met vrijdag 4 juni 2021 de tijd om het datalek alsnog te melden.
Inbreuk i.v.m. persoonsgegevens
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.
Drie categorieën datalekken
Er zijn drie categorieën datalekken te onderscheiden:
- Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens. - Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens. - Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Voorbeelden van datalekken zijn:
- het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
- een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
- een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.