Heeft u al een datalek gemeld?

donderdag, 28 januari 2016

Inmiddels geldt de meldplicht datalekken bijna een maand. Op grond van deze meldplicht dient iedere onderneming een beveiligingsincident waarbij (een aanzienlijke kans op) ernstige nadelige gevolgen bestaat voor de bescherming van persoonsgegevens te melden bij de Autoriteit Persoonsgegevens (AP). Zo’n beveiligingsincident wordt een datalek genoemd. Voorbeelden van datalekken zijn het verliezen van een dossier met medische gegevens, het in de trein laten liggen van citotoets uitslagen van een basisschool, een verkeerd geadresseerde e-mail met burgerservicenummers en een gestolen laptop met financiële gegevens van klanten. Het aantal meldingen in de eerste week van januari 2016 was ongeveer 20, een aanzienlijk lager aantal dan de AP had verwacht. Dat dit aantal niet zo hoog is komt waarschijnlijk omdat veel organisaties nog geen procedure voor deze meldplicht hadden ingericht. De AP heeft echter aangekondigd dat er geen reden is voor coulance, omdat de verplichting tot adequate beveiliging van persoonsgegevens al jaren bestaat. Boetes voor het niet melden liggen daarom op de loer.

Op 8 december 2015 heeft de AP de beleidsregels meldplicht datalekken gepubliceerd. Daarin heeft de AP beschreven hoe een organisatie kan en moet beoordelen of een beveiligingsincident een datalek is dat gemeld moet worden en of tevens de getroffen personen geïnformeerd dienen te worden. Daarvoor heeft de AP het volgende beslisschema in haar beleidsregels opgenomen:

 

http://ic.tweakimg.net/ext/i/2000874779.png

 

Mocht u nog geen procedure hebben ingericht voor de meldplicht datalekken, dan raden we u aan dat alsnog te doen. Voor het inrichten van een procedure verwijs ik graag naar onze eerdere checklist die hier te vinden is. Daarnaast kunnen we u helpen bij het nader uitwerken van de procedure. Neem daarvoor contact op met Monique Hennekens.