Afl. 10 Breng procedures voor datalekken in lijn met de AVG

De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? –belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017. https://www.rijksoverheid.nl/documenten/brochures/2017/04/19/anticiperen-op-de-algemene-verordening-gegevensbescherming

Aflevering 10, 7 februari 2018

Het voorbije half jaar heb ik in 9 afleveringen een aantal onderwerpen besproken die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR). Vandaag de laatste in die serie, aflevering 10.

Controleer of de procedures voor datalekken (opsporen, onderzoeken, rapporteren, melden) aan de aangescherpte regels voldoen. Alle datalekken moet u vanaf 25 mei a.s. registreren.

Op 1 januari 2016 werd onze Wet bescherming persoonsgegevens (Wbp) al uitgebreid met de meldplicht datalekken. Sindsdien behoort elke organisatie een protocol te hebben voor het melden van ernstige datalekken. In de praktijk zie ik vaak dat heel veel organisaties nog geen protocol datalekken hebben.

Een datalek is een beveiligingsincident, zoals een hack, ransomware, het verlies van een USB-stick of de diefstal van een laptop. Echter, niet elk beveiligingsincident is een datalek. Daarvan is sprake als persoonsgegevens verloren zijn gegaan of als de onrechtmatige verwerking van persoonsgegevens niet kan worden uitgesloten.

Niet ieder datalek moet worden gemeld aan de Autoriteit Persoonsgegevens. Dat moet alleen als er een aanzienlijke kans is op nadelige gevolgen voor de bescherming van persoonsgegevens of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Alleen al voor de hier te maken beoordelingen is een protocol datalekken nuttig. Je wilt namelijk niet onnodig melden aan de Autoriteit Persoonsgegevens.

Onder de AVG verandert er niet veel op het gebied van de meldplicht datalekken. De belangrijkste verandering is dat je onder de AVG ieder datalek dat zich voordoet in je organisatie, moet documenteren en registreren. Met die documentatie kan de Autoriteit Persoonsgegevens controleren of aan de meldplicht is voldaan.

Dit betekent wél dat medewerkers in een organisatie moeten weten wat een datalek is en dat de organisatie beschikt over een procedure om zo’n lek te registreren en zonodig te melden. Dit vergt meestal awarenesstraining en gedragsverandering!

Broeseliske Van Vlijmen Advocaten ondersteunt organisaties bij het opstellen van een protocol datalekken. Voor meer informatie en ondersteuning bij het AVG-compliant worden, bel (070-4131100) of mail j.vanvlijmen@broeseliskevanvlijmen.nl