CHECK JE DATALEK:
Is er een inbreuk geweest op de beveiliging van persoonsgegevens?
Je wachtwoord is gehackt. Of je vergat je computerscherm te locken. Maar ook een simpel voorbeeld van een dossier dat uit je tas valt. Of een blaadje uit het dossier dat wegwaait. Kortom: de bescherming van de gegevens werkt niet meer.
Ging er iets mis met de persoonsgegevens?
Zijn er persoonsgegevens bijvoorbeeld verloren gegaan, vernietigd, gewijzigd of ingezien door iemand, terwijl dat niet de bedoeling was?
Het is belangrijk om te beoordelen of het überhaupt om persoonsgegevens gaat. En vervolgens wat daar mee is gebeurd.
Er is sprake van een datalek
Je moet de gebeurtenis registreren. Bijvoorbeeld in een datalekregister. Dat mag gewoon een Excel-bestand zijn.
Loopt de persoon van wie de persoonsgegevens zijn gelekt een risico?
Controleer direct of je het datalek moet melden. Je hebt 72 uur de tijd, vanaf het moment van ontdekking.
Je moet het datalek melden bij de Autoriteit Persoonsgegevens
Als je te maken hebt met een datalek, wil dat nog niet direct zeggen dat je deze ook moet melden. Je moet dan controleren of het datalek een risico meebrengt voor de betrokkene. En dat risico is afhankelijk van welke persoonsgegevens er gelekt zijn. En hoeveel. Maar ook aan wie. Je moet dus het hele plaatje controleren. Afhankelijk van hoe hoog het risico is, weet je of je het datalek moet melden. Alleen een klein risico meld je aan de Autoriteit Persoonsgegevens. Een waarschijnlijk hoog risico meld je ook nog eens bij de betrokkene zelf.
Deze melding moet binnen 72 uur nadat je het lek ontdekt hebt, gemeld worden via het meldformulier. Soms moet een datalek ook nog gemeld worden aan de persoon zelf. De persoon van wie de data is gelekt. Check direct of je het datalek moet melden aan de betrokkenen:
Is er sprake van waarschijnlijk een hoog risico voor de betrokkene? Deze afweging is niet altijd even objectief en daardoor niet gemakkelijk te maken. Om handvatten te bieden, heeft de AP daarom een voorbeeldlijst gemaakt. Twijfel je? Neem contact op, of kies voor ‘ja’.
Een datalek met een hoog risico moet je melden aan de betrokkene. Dat kan via een e-mail of een berichtje in het dashboard. Een brief via de post mag natuurlijk ook. Of, als je die persoonlijke contactgegevens niet (meer) hebt, kun je soms volstaan met bijvoorbeeld een bericht in de krant.
Niet ieder datalek hoef je te melden
Soms is het risico bij een datalek namelijk zó klein, dat als je een aantal maatregelen neemt, dat al genoeg is om iemand te beschermen.
Betreft het wél een datalek, maar hoef je deze niet te melden? Vergeet dan niet om de interne registratie compleet te maken. Je bent namelijk verplicht om ieder datalek te registreren.
Het mag natuurlijk wel.