Het datalekregister en datalekken
U laat ergens uw schrijfmap liggen… maar daar zit wel uw complete klantenlijst in. Is dat nou een datalek waar iedereen het over heeft? En wat te doen?
Eerst: wat is een datalek?
Bij een datalek gaat het om toegang tot, vernietiging, wijziging of het vrijkomen van persoonsgegevens van uw bedrijf, zonder dat u dat heeft bedoeld. Een datalek moet in sommige gevallen gemeld worden aan de Autoriteit Persoonsgegevens (AP) en eventueel aan de betrokken persoon of personen.
De AVG en datalekkage
De AVG is van toepassing op geautomatiseerde verwerkingen of handmatige verwerkingen die bedoeld zijn om op te slaan in een bestand. Strikt genomen is de AVG dus niet van toepassing op geprinte lijst met klantgegevens; maar daar wordt niet door iedereen hetzelfde over gedacht. Let op. Verliest u dezelfde lijst digitaal? Dan is er wel sprake van een datalek. Denk aan de gestolen laptop, de verloren telefoon en een hack.
Wat te doen?
Een datalek moet u beoordelen naar aard van het lek (bijzondere/reguliere gegevens), omvang en de (mogelijke) gevolgen ervan. Er geldt géén meldplicht aan de AP of betrokkene(n) als het onwaarschijnlijk is dat het datalek een hoog risico inhoudt. Het kan echter wel zijn dat u een datalek wel moet melden aan de AP en niet aan betrokkene(n). Al met al een heel gedoe.
- Stap 1. Neem het zekere voor het onzekere en bepaal of er sprake is van een datalek. Tip. Onderstaand stroomschema en de website van de Autoriteit Persoonsgegevens helpen daarbij.
- Stap 2. Bepaal of u het datalek moet melden aan de AP en aan de betrokkene(n). Melden doet u bij het Meldloket AP en eventueel rechtstreeks aan de betrokkene(n).
- Stap 3. Leg het (mogelijke) datalek vast in een register (feiten, de gevolgen en maatregelen).
Moet u alles melden?
Het onterecht niet melden van een datalek kan leiden tot fikse boetes. Het is echter niet slim om ieder voorval, onnodig, te melden. Dat is al snel het geval bij kleinere ondernemingen waar de omvang van het lek niet groot is. Tip. Het is daarom verstandig om ieder (mogelijk) datalek vast te leggen in een datalek-register en daarbij, aan de hand van de richtsnoeren van de AP, schriftelijk vast te leggen waarom besloten is om al dan niet te melden. Bij controle van de AP kunt u dit datalekregister laten zien en kunt u aantonen hoe u hebt afgewogen om niet te melden.
Een verloren papieren dossier van een kleinere onderneming is meestal vanwege de geringe omvang geen datalek is. Check dit bij de AP en legt elk (mogelijk) datalek vast in een register waarmee u uw afwegingen goed kunt aantonen.