close
Share with your friends

Privacymelding? Wees er bij een datalek snel bij!

Privacymelding? Wees er bij een datalek snel bij!

Van de Autoriteit Persoonsgegevens (AP) moet u een datalek zo snel mogelijk melden, maar in ieder geval binnen 72 uur. Zo duidelijk als die 72 uur klinkt, zoveel vragen roept het in de praktijk op. Want wanneer gaat die periode bijvoorbeeld precies in?

Chantal Rademaker de Ridder

Partner Cyber Security

KPMG Nederland

Contact

Gerelateerde content

nl-ice-floe

Van de Autoriteit Persoonsgegevens (AP) moet u een datalek zo snel mogelijk melden, maar in ieder geval binnen 72 uur. Zo duidelijk als die 72 uur klinkt, zoveel vragen roept het in de praktijk op. Want wanneer gaat die periode bijvoorbeeld precies in? Zo is er het moment dat u ontdekt dat bijvoorbeeld een beveiligingsincident een datalek kán zijn. En is er het moment dat u het vrij zeker weet. Inclusief een grijs gebied daartussenin. In deze blog nemen we u mee langs een aantal concrete cases om deze periode te verduidelijken.

Van vermoeden tot melding: dit zijn de regels

  • De Algemene verordening gegevensbescherming (AVG) verplicht u een datalek zo snel mogelijk, zonder onredelijke vertraging, te melden. In elk geval binnen 72 uur. Die 72 uur is bedoeld om informatie te verzamelen over de omvang van het lek en de getroffen personen. Bent u te laat, dan riskeert u een boete.
  • Is het niet duidelijk of er daadwerkelijk sprake is van een datalek, dan mag u eerst een kort vooronderzoek starten. Hierin stelt u vast of er werkelijk persoonsgegevens zijn getroffen.
  • Zo'n vooronderzoek is zeer beperkt. Richtlijnen ontbreken, maar ga er vanuit dat u daar slechts een paar uur voor hebt. Bij een ernstig incident misschien één of twee dagen. U start het vooronderzoek direct nadat u ontdekt dat er een datalek kan zijn of geweest is.
  • Overigens kunt u een melding altijd weer intrekken. Dan verandert de melding in een notificatie, en doet de AP er verder niets mee. Dus neemt u liever het zekere voor het onzekere, dan kunt u beter meteen een melding doen.
  • Constateert u – of uw Data Protection Officer (DPO) – dat er inderdaad sprake is van een datalek? Dan is uw organisatie nu 'in kennis gesteld' en start de klok. U hebt 72 uur om melding te doen bij de AP. 

Case 1: Hacker laat een bericht achter

Een hacker bericht u dat hij één van uw databases heeft gehackt. Dat hoeft nog niet te betekenen dat er inderdaad een datalek is – iedereen kan zo'n bericht sturen. Wel start u een vooronderzoek. Levert de hacker bewijs voor zijn inbraak of ontdekt u zelf aanwijzingen, dan gaat de 72 uur in.

Case 2: Verkeerd verzonden brief

U verstuurt een brief met persoonsgegevens naar de verkeerde ontvanger. Wanneer hij of zij deze brief ontvangt, is er een mogelijk datalek. Stelt de 'verkeerde ontvanger' u op de hoogte? Dan doet u een kort vooronderzoek bij de ontvanger en als u daarbij een datalek constateert, dan start de 72 uur. Ontvangt u de verkeerd verstuurde brief geopend retour? Dan is de kans op een datalek groot. Een vooronderzoek is niet nodig, de 72 uur gaat onmiddellijk in.

Case 3: Gestolen laptop

Een laptop van een van uw medewerkers, met daarop onversleutelde persoonsgegevens, is gestolen of kwijtgeraakt. Zodra de medewerker dit bij haar of zijn leidinggevende of uw DPO meldt, is er sprake van een datalek en start de 72 uur. Zonder vooronderzoek.

Case 4: Klant vermoedt een datalek

Eén van uw klanten geeft bij u aan dat zij vermoedt dat een onbevoegde medewerker toegang heeft gehad tot haar persoonsgegevens. U start een kort vooronderzoek waarin u de logfiles controleert. Daarin ziet u dat uw klant gelijk heeft. Uw organisatie is nu 'in kennis gesteld' en de 72 uur gaat in.

Let op, het is in bovenstaande gevallen niet altijd nodig om een datalek te melden bij de AP. Dit is altijd afhankelijk van de specifieke omstandigheden van het geval. U hoeft een datalek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen. Wel kunt u een beveiligingsincident of datalek voor de zekerheid melden. Deze kunt u altijd op een later moment nog intrekken. Mocht u deze melding later willen intrekken, vergeet dan niet het datalek op te nemen in het datalekregister.

Zo helpt KPMG

Wij helpen u graag bij het in kaart brengen van de privacyvolwassenheid van uw organisatie of bij het uitvoeren van Data Privacy Impact Assessments (DPIA's). Met de Data Privacy-diensten van KPMG bieden we u een complete aanpak: onze privacyexperts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw organisatie, helpen u met het implementeren van organisatorische en technische databeschermingsmaatregelen en hanteren daarbij een pragmatische en hands-onaanpak. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat het vertrouwen in uw organisatie geborgd is. 

Meer informatie

Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem contact op met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy.

© 2020 KPMG N.V., a Dutch limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.


For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Offerteaanvraag (RFP)