Met feedback van onder meer functionarissen voor de gegevensbescherming (FG’s), melders en de Vereniging Privacyrecht zijn aanpassingen doorgevoerd in het meldformulier Datalekken. Zo kunnen melders nu vooraf een overzicht van vragen bekijken en hun melding daarmee beter voorbereiden. Ook zijn er technische verbeteringen gedaan en is de toelichting op begrippen aangepast.
De meldplicht datalekken houdt in dat zowel bedrijven als overheden direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt.
Wat is een datalek?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.
Er zijn 3 categorieën datalekken te onderscheiden:
- Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens. - Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens. - Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan, afhankelijk van de omstandigheden, in meer dan 1 van deze 3 categorieën vallen.
Voorbeelden datalekken
Voorbeelden van datalekken zijn:
- het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
- een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
- een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldformulier datalekken. Je moet een datalek binnen 72 uur melden aan de AP.
Je hoeft een datalek niet te melden als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.
Let op: ook als je het datalek niet hoeft te melden aan de AP, moet je het wel registreren in het interne datalekregister.