Datalek melden

Het belang en gebruik van data neemt steeds meer toe binnen ondernemingen. De AVG (de Algemene Verordening Gegevensbescherming) is in het leven geroepen om ervoor te zorgen dat onze privacy goed beschermd wordt tegen de mogelijke risico’s bij het beheren en/of verspreiden van data.

Een datalek is een van die risico’s die in de praktijk steeds meer voorkomt. In 2019 waren er bijna 27.000 datelekmeldingen! Maar wat moet je als ondernemer doen bij een datalek? Een datalek melden? Hoe zit het met de wetgeving over een datalek?

Persoonsgegevens in jouw onderneming

Vrijwel elke onderneming gebruikt data via programmatuur zoals applicaties of administratiesystemen. Dit kan voor interne doeleinden zoals bijvoorbeeld administratie voor medewerkers zijn, maar ook systemen die gebruikt worden bij de dienstverlening. Bij het gebruik hiervan en bij het verlenen van diensten aan consumenten verwerk je als onderneming vaak persoonsgegevens. Je bent dan verantwoordelijk voor de bescherming daarvan.

Wetgeving datalek

Wanneer deze persoonsgegevens in handen komen van derden die daar geen inzicht in of toegang tot mogen hebben, dan ben je als verantwoordelijke onderneming in overtreding van de AVG. Er is dan sprake van een datalek. Het verliezen van een USB stick met persoonsgegevens of het versturen van persoonsgegevens naar een verkeerde persoon of organisatie zijn de meest bekende voorbeelden van een datalek. De AVG, de wet datalek, schrijft voor wat je als onderneming moet doen wanneer er een datalek is en wat de consequenties kunnen zijn als de regels niet worden gevolgd.

Datalek melden

Is er een datalek geconstateerd? Meteen actie ondernemen! Je hebt vanaf het moment van ontdekking maximaal 72 uur om het datalek te melden bij de Autoriteit Persoonsgegevens. Hier bestaat een uitzondering op wanneer je als onderneming kan vaststellen dat het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betreffende personen. De gevolgen en negatieve effecten van de betrokken persoon moeten worden afgewogen.

Om een dergelijke beoordeling te kunnen doen moet je als onderneming passende technische en organisatorische maatregelen hebben genomen. Concreet betekent dit dat er een procedure moet zijn waarin is bepaald hoe wordt omgegaan met een datalek en de meldplicht voor het datalek.

Mogelijke juridische geschillen bij een datalek

Je wilt voorkomen dat je een datalek niet op tijd herkent en meldt. Je wilt voorkomen dat jouw interne procedure niet goed genoeg is ingericht waardoor je het risico loopt op een boete. De Autoriteit Persoonsgegevens kan in zulke gevallen namelijk fikse boetes opleggen die kunnen oplopen tot wel 20 miljoen of 4% van de wereldwijde omzet van je onderneming.

Wil je weten of er sprake is van een datalek en dus de ‘meldplicht datalekken’ gaat gelden? Wil je in een specifiek geval weten of je een procedure daaromtrent op moet laten stellen of wil je een situatie laten beoordelen? Neem dan contact op met onze privacy en ICT-recht specialisten.