Op het moment dat u een ernstig datalek heeft – er zijn gevoelige gegevens of juist veel gegevens gelekt – dient u het datalek te melden bij de Autoriteit Persoonsgegevens (AP). Bij de melding dient u wel een aantal aspecten in de gaten te houden. In deze blog staan we stil bij een aantal belangrijke aspecten van de melding.
Melding binnen uiterlijk 72 uur
Op het moment dat een datalek heeft plaatsgevonden, dient u dit zo snel mogelijk (uiterlijk binnen 72 uur) bij de AP te melden. De termijn om te melden is een redelijk korte termijn.
Om de AP tijdig en adequaat te kunnen informeren in geval van een datalek, is het van belang dat het personeel binnen de organisatie goed op de hoogte is van de meldplicht.
De ervaring leert dat veel werknemers bij een datalek zich vaak niet realiseren dat dit (i) een datalek is en (ii) dat dit wellicht gemeld moet worden bij de AP. Denk hierbij bijvoorbeeld aan het verliezen van een USB-stick of het verzenden van een e-mail aan een verkeerde afzender. Als de termijn van 72 uur is verlopen en de AP niet tijdig is geïnformeerd kunt u wellicht geconfronteerd worden met een boete.
Hoe moet worden gemeld?
De melding doet u via een online formulier. U ontvangt direct nadat u het formulier heeft ingezonden een meldingsnummer. Dit nummer dient u bij alle volgende correspondentie ook te vermelden.
Wat moet worden gemeld?
Bij de melding moet aangegeven worden wat de aard van de inbreuk is. Verder maakt u inzichtelijk welke maatregelen getroffen zijn of moeten worden. Ook de mogelijke gevolgen voor betrokkenen geeft u aan.
Om adequaat te kunnen voldoen aan de meldplicht, is het vereist dat u alle mogelijk beschikbare informatie ontvangt van degene die het datalek heeft ontdekt. Ook hier zal een datalekprotocol u kunnen ondersteunen. In dit protocol kunt u immers een meldingsformulier opnemen, waarmee de werknemer alle vereiste informatie direct kenbaar kan maken.
Datalekprotocol
Om tijdig en volledig aan de wet te kunnen voldoen, is het van belang om adequaat te handelen. Wanneer binnen een organisatie niet al in een vroeg stadium aandacht is besteed aan het onderwerp Datalek, is de kans groot dat u onnodige vertraging oploopt bij de melding van een datalek. Dit kan grote financiële gevolgen hebben.
Een goed gecommuniceerd datalekprotocol kan hier uitkomst bieden. Bewustwording binnen de gehele organisatie, en niet alleen bij de directie, is een belangrijke stap om aan de wet te voldoen en datalekken te voorkomen. JPR Advocaten is graag bereid u hierbij te ondersteunen. Wij verzorgen ook op maat gemaakte privacy workshops om privacy binnen uw organisatie op de agenda te zetten.