• Nieuws
  • Corona
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
  • Over ons
  • Adverteren
  • Contact
  • Vrienden
  • Twitter
  • LinkedIn
  • Mail
  • Spring naar de hoofdnavigatie
  • Door naar de hoofd inhoud
  • Spring naar de eerste sidebar
  • Spring naar de voettekst
Salaris Vanmorgen

  • Over ons
  • Adverteren
  • Contact
  • Vrienden
Aanmelden nieuwsbrief
  • Nieuws
  • Corona
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers
Home » Datalek melden: 10 vragen en antwoorden

Datalek melden: 10 vragen en antwoorden

Nieuws

Organisaties moeten direct een melding doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Tien vragen en antwoorden over deze meldplicht.

29 april 2022 door Salaris Vanmorgen

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.

Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens (AP), kunnen dat doen via het meldloket datalekken.

Drie categorieën

Er zijn drie categorieën datalekken te onderscheiden:

  1. Inbreuk op de vertrouwelijkheid
    Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
  2. Inbreuk op de integriteit
    Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
  3. Inbreuk op de beschikbaarheid
    Wanneer sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan een van deze drie categorieën vallen.

Voorbeelden datalekken

Voorbeelden van datalekken zijn:

  • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
  • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
  • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

Tien vragen en antwoorden over het melden van datalekken.

1 Wat betekent de meldplicht datalekken voor de organisatie?

Of je een datalek wel of niet bij de AP moet melden, hangt af van de waarschijnlijkheid en de mogelijke ernst van het datalek voor de betrokken personen.

Je zult daarom een risico-inschatting moeten maken. Wanneer het datalek waarschijnlijk een hoog risico oplevert, moet je ook de betrokkenen informeren over het datalek.

Meld je een datalek ten onrechte niet bij de AP? Dan kan de AP je een boete geven. Je kunt ook een boete krijgen als je ten onrechte een datalek met een hoog risico verzwijgt voor de betrokkenen.

2 Moet je alle datalekken melden bij de AP?

Of je een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.

Je hoeft een datalek niet te melden als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.

Let op: ook wanneer je het datalek niet hoeft te melden aan de AP, moet je het wel registreren in jouw interne datalekregister.

3 Moet je alle datalekken melden aan betrokkenen?

Nee. Je hoeft de betrokkenen (de personen van wie je gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kun je  aannemelijk maken dat dit niet zo is? Dan hoef je het datalek niet aan de betrokkenen te melden.

Let op: je moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geef je in de melding aan dat je het datalek niet hebt gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeld je welke redenen je hebt om de betrokkenen niet te informeren.

Hoog risico

Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet je onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen, zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

4 Wanneer levert een datalek een hoog risico op?

Van een hoog risico is sprake als een datalek kan leiden tot:

  • Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
  • Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
  • Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
  • Reputatieschade: bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
  • Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische gegevens.

Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:

  • Het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens.
  • Een aanzienlijk economisch of maatschappelijk nadeel.
  • Een situatie waarbij de betrokken personen hun rechten en vrijheden niet kunnen uitoefenen. Of geen controle over hun persoonsgegevens kunnen uitoefenen.

Andere voorbeelden van datalekken met een hoog risico:

  • Datalek met bijzondere persoonsgegevens.
  • Datalek met strafrechtelijke persoonsgegevens.
  • Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Met name als het gaat om profiling op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
  • Datalek met persoonsgegevens van kwetsbare groepen, zoals gehandicapten, mensen die ziek zijn, kinderen en bejaarden.
  • Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor een hele grote groep mensen.

5 Hoe snel moet je een datalek melden?

Je moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Wanneer je dat niet doet, ben je waarschijnlijk in overtreding.

Wanneer je te laat bent moet je dit motiveren. Alleen in uitzonderlijke gevallen accepteert de AP een vertraagde melding na 72 uur.

Ter illustratie: een vakantie, ziekte, drukte of ‘het was weekend’ is geen geldig excuus om te laat te melden. Ook de motivatie ‘de FG is te laat geïnformeerd over datalek’ is geen geldig excuus.

Je kunt de melding die je hebt gedaan aanvullen of intrekken via het meldloket datalekken. Je hebt daarbij jouw meldingsnummer nodig.

Vervolgmelding

Gaat het om een complexe inbreuk, zoals digitale hacks of phishing? En heb je nog niet alle informatie? Dan moet je de eerste melding nog steeds binnen 72 uur doen. Bij nieuwe informatie kun je dan een vervolgmelding doen.

6 Wat doet de AP met de melding van een datalek?

De Autoriteit Persoonsgegevens (AP) kijkt zorgvuldig naar alle ontvangen meldingen van datalekken. Meestal krijg je geen reactie, tenzij de AP inhoudelijke vragen heeft over de melding. In dat geval neemt de AP binnen twee weken contact op.

Afhankelijk van de situatie kan AP besluiten om het volgende te doen na melding van een datalek:

  • jou verplichten om de betrokken personen te informeren wanneer je dat onterecht niet heeft gedaan;
  • een kortlopend onderzoek starten bij een mogelijke overtreding van de meldplicht, bijvoorbeeld wanneer je een datalek niet hebt gemeld. Of te laat hebt gemeld.
  • een inlichtingenverzoek doen, bijvoorbeeld om het rapport van het onderzoek naar het datalek op te vragen;
  • jou bellen voor meer informatie over het datalek;
  • jou bellen om je extra uitleg en advies te geven;
  • jou een brief sturen met extra uitleg over de normen en hoe te handelen bij datalekken;
  • de melding sluiten. Wanneer uit de melding blijkt dat je de meldplicht goed hebt nageleefd en voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen.

Onderzoek AP

De datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving.

AP-register met alle datalekken

De AP slaat de melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.

8 Kan je een datalek melden bij de FG van een organisatie?

Nee, je kunt een datalek niet melden bij de functionaris gegevensbescherming (FG). Je moet het datalek melden bij de Autoriteit Persoonsgegevens.

Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan jou bijvoorbeeld adviseren bij het informeren van de betrokkenen.

9 Welke informatie moet je betrokkenen geven bij een datalek?

Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.

Je moet daarom ten minste antwoord geven op de volgende vragen:

Wat is er gebeurd?

Geef onder meer antwoord op de volgende vragen:

  • Zijn de gegevens in handen gekomen van een onbevoegde? Of zijn de persoonsgegevens tijdelijk of permanent ontoegankelijk of verloren geraakt?
  • Waren de persoonsgegevens onjuist of onvolledig? Of een combinatie?
  • Om welke gegevens ging het? Wat is er met deze gegevens gebeurd?

Wat zijn de waarschijnlijke gevolgen?

Geef onder meer antwoord op de volgende vragen:

  • Is alleen de privacy geschonden van de betrokken persoon? Of is er ook sprake van (een hoog risico op) lichamelijke of materiële (financiële) schade?
  • Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? Zo ja, is er een (hoog) risico dat de betrokken persoon als gevolg van het datalek phishing mails ontvangt? Of het slachtoffer wordt van (identiteits)fraude?
  • Zijn de persoonsgegevens inmiddels teruggestuurd of vernietigd door de partij die de gegevens onterecht heeft ontvangen?

Welke maatregelen stel je voor of heb je al getroffen?

Inclusief eventuele maatregelen om de risico’s te verkleinen of de nadelige gevolgen te beperken. Hierbij moet u ook vermelden of u externe partijen om advies heeft gevraagd. En zo ja, wat dat advies inhoudt.

Kan de getroffen persoon zelf iets doen?

Bijvoorbeeld om het risico op identiteitsfraude te verkleinen.

Waar terecht met vragen?

Geef de naam en contactgegevens van de functionaris gegevensbescherming (FG), als de organisatie die heeft. Of van iemand uit de organisatie waar de getroffen personen terechtkunnen voor meer informatie, bijvoorbeeld de directeur of een privacycontactpersoon.

10 Moet de verwerkingsverantwoordelijke of verwerker de datalek melden?

Maak je als verwerkingsverantwoordelijke gebruik van een dienst van een andere organisatie? En is die organisatie een verwerker? Dan moet je de melding doen als er een datalek is. Tenzij je expliciet afspraken maakt met de verwerker – bijvoorbeeld in de verwerkersovereenkomst – dat die namens jou datalekken meldt aan de Autoriteit Persoonsgegevens (AP).

Let op: onder de Algemene verordening gegevensbescherming (AVG) is de verwerker verplicht om de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra de verwerker weet heeft van een datalek.

Ben je als verwerkingsverantwoordelijke verplicht om het datalek aan de betrokkenen te melden? Dan kun je niet afspreken dat de verwerker dit namens jou doet. Je moet in die gevallen altijd zelf de betrokkenen informeren.

Bron: Autoriteit Persoonsgegevens

 

 

Categorie: Nieuws Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, datalek

Tags: Algemene Verordening Gegevensbescherming (AVG), Autoriteit Persoonsgegevens, datalek

Gerelateerde artikelen

31 mei 2022

Bijna 25.000 meldingen van datalekken in 2021

19 mei 2022

AVG-verzoek inzage persoonsgegevens: geen verstrekking documenten

17 mei 2022

Nieuwe regels voor berekening boetes bedrijven bij overtreding AVG

20 april 2022

‘Wetsvoorstellen kabinet te vaak vrijbrief voor persoonsgegevens verzamelen’

Hoofdsponsor

Vakantiewerk in jouw organisatie: voordelen en regels op een rij
Zo kijkt Lois, Junior Salarisprofessional van het jaar, terug op de verkiezing
Hoe werkgevers medewerkers met schulden kunnen helpen
5 verschillen tussen Nederlandse en Belgische medewerkers
‘Respijt voor NOW 1’ zet ondernemers op verkeerde been
Highlights uit het nieuwe pensioenstelsel
Doorstuderen na VPS: wat kun je doen?
Hoe kun je verzuim binnen jouw organisatie terugdringen?

Partners

Vakantiewerk in jouw organisatie: voordelen en regels op een rij
Zo kijkt Lois, Junior Salarisprofessional van het jaar, terug op de verkiezing
Hoe werkgevers medewerkers met schulden kunnen helpen
5 verschillen tussen Nederlandse en Belgische medewerkers
‘Respijt voor NOW 1’ zet ondernemers op verkeerde been
Highlights uit het nieuwe pensioenstelsel
Doorstuderen na VPS: wat kun je doen?
Hoe kun je verzuim binnen jouw organisatie terugdringen?

Meest gelezen berichten

  • Loonbelastingtabellen 2022 – witte en groene tabellen
  • Twee fulltime banen – boete voor overtreden nevenwerkzaamhedenbeding
  • Minimumloon stijgt per 1 juli 2022 met 1,81 procent
  • Schadevergoeding na ontslag is belastbaar loon uit dienstbetrekking
  • Salariscriteria voor kennismigranten per 1 januari 2022

NIRPA

Opleidingen

01
sep
HR voor Salarisadministrateurs
Markus Verbeek Praehep
12
sep
Cursus Samenwerken financiële- en salarisadministratie
Salaris Vanmorgen
15
sep
Cursus Van salarisadministrateur naar beloningsadviseur (basis)
Salaris Vanmorgen
19
sep
HBO Associate degree Payroll Services
Markus Verbeek Praehep
19
sep
Werkkostenregeling PE
Markus Verbeek Praehep
19
sep
HBO Bachelor Management Payroll Services
Markus Verbeek Praehep
19
sep
Vakopleiding Payroll Services (VPS®)
Markus Verbeek Praehep
22
sep
Tweedaagse online Excel training voor de salarisadministrateur (verdieping en specialisatie)
Salaris Vanmorgen
22
sep
Online Excel training voor de salarisadministrateur (verdieping)
Salaris Vanmorgen
28
sep
Online cursus Werkkostenregeling
Salaris Vanmorgen
04
okt
Cursus Impact nieuwe Wet Toekomst Pensioenen per 1 januari 2023
Salaris Vanmorgen
04
okt
Cursus Inkomstenbelasting voor de salarisadministrateur
Salaris Vanmorgen
06
okt
Online cursus Wet bedrag ineens, RVU en verlofsparen
Salaris Vanmorgen
11
okt
Online Excel training voor salarisadministrateurs (specialisatie)
Salaris Vanmorgen
13
okt
Online cursus loonheffingen en hybride werken
Salaris Vanmorgen
01
nov
Cursus Werkkostenregeling
Salaris Vanmorgen
07
nov
Cursus Van salarisadministrateur naar beloningsadviseur (verdieping)
Salaris Vanmorgen
08
nov
Cursus Samenwerken tussen de HR-afdeling en salarisadministratie
Salaris Vanmorgen
10
nov
Online Excel training voor de salarisadministrateur (basis)
Salaris Vanmorgen
10
nov
Cursus Werkkostenregeling bij gemeenten (introductie)
Salaris Vanmorgen
06
dec
Online cursus Update Werkkostenregeling bij gemeenten (verdieping)
Salaris Vanmorgen
07
dec
Compensation & Benefits Consultant (CBC®)
Markus Verbeek Praehep

Vacatures

Traineeship HR Payroll Consultant | Randstad – Randstad
a/s Works
Senior salarisadviseur (Raalte)
De Jong & Laan
Senior Salarisadministrateur- Gorinchem
acconavm
Professional salarisadministrateur
Bentecera
Salarisadviseur (Hoogeveen)
de Jong & Laan
(Sr.) Loonadministrateur
Scab
Traineeship HR-payroll consultant | Regio Apeldoorn
a/s WORKS
Specialist loonheffingen (Hoogeveen/Groningen)
De Jong & Laan
Payroll Specialist – Philips Domestic Appliances Amsterdam
Strictly People | Philips Domestic Appliances Amsterdam
Corporate International Payroll Controller – B&S Dordrecht
Strictly People B&S
Senior salarisadministrateur Bussum
Moore MTH
Payroll consulent (32-40 uur)
BROADSTREET
Salarisadviseur (Harderwijk)
De Jong & Laan
(Ervaren) Salarisadministrateur parttime/fulltime
Payroll Totaal
Salarisadministrateur / AFAS Payroll Barendrecht e.o.
Visser & Visser
Medior / Senior salarisadministrateur Software Gemak – Utrecht
a/s Works
Salarisadministrateur – Intergamma Leusden
Strictly People
Payroll Specialist – Q8 Den Haag
Strictly People - Q8
Intern salarisadministrateur / payroll specialist
HLB Witlox Van den Boomen
Traineeship Loonadministratie & Advies
Scab
Salarisadministrateur 24-40 uur per week in Ridderkerk (€2.600-€ 3.800)
Lansigt accountants en belastingadviseurs
Fiscount zoekt een specialist sociale zekerheid
Fiscount
Salarisadministrateur (m/v/x) 16 tot 40 uur mogelijk. Remote, hybride of in Den Haag
Duits-Nederlandse Handelskamer
Professional – Loonadministrateur Onderwijs
Van Oers Accountancy & Advies
Senior Salarisadministrateur – Veenendaal
acconavm
Junior salarisadministrateur
acconavm
Salarisadministrateur bij de Caesar Groep
Caesar Groep
Payroll Specialist – Netcompany Delft
Strictly People
Parttime/Fulltime Salarisadministrateur- Denekamp
De Kok
Ervaren medewerker administratieve dienstverlening Nieuwegein, 32-40 uur
van helder
Senior salarisadministrateur, Gorinchem
acconavm
Payroll consultant Zoetermeer
a/s Works
Junior salarisadministrateur
Moore MTH
Specialist arbeidsrecht
Fiscount
Teamleider Salarisadvies
HLB Witlox Van den Boomen
Professional – Loonadministrateur
Van Oers Accountancy & Advies
Medior salarisadministrateur
Moore MTH
Loonadviseur
Scab
Ervaren salarisadministrateur
HLB Witlox Van den Boomen
Professional – Loonadministrateur
Van Oers
Salaris/HR adviseur
Bentecera
Payroll Professional
CROP
Senior Salarisadministrateur Eindhoven
KSS (onderdeel van Wij zijn Jong)

Vriend van Salaris Vanmorgen

Moore mth
abonneer nieuwsbrief FV

Salaris Vanmorgen (SV) is het platform voor salarisadministrateurs met nieuws en verdieping op het gebied van salarisadministratie.

Salaris Vanmorgen is een uitgave van MOCuitgevers.

 

Categorie

  • Nieuws
  • Corona
  • Blogs
  • Opleidingen
  • Partners
  • AV/FV
  • Vacatures
    • Kantoren
  • Salarisdag
  • Dossiers

Info

  • Over ons
  • Adverteren
  • Contact
  • Algemene voorwaarden MOCuitgevers Vanmorgen
  • Annuleringsvoorwaarden
  • Privacybeleid
  • Twitter
  • LinkedIn
  • Mail
logo FV