Net als bij de andere onderdelen van de AVG heerst over het melden van een datalek veel onduidelijkheid. Iedere ondernemer die persoonsgegevens verwerkt, zowel MKB als ZZP, dient te weten wat datalekken zijn en wat er vervolgens gedaan moet worden.
Definitie datalek
Laten we beginnen met uit te leggen wat er onder datalekken verstaan wordt: er is sprake van een datalek als onbevoegden toegang krijgen tot persoonsgegevens bij een organisatie, zij deze inzien, wijzigen en/of vernietigen. Dit geldt tevens voor de persoonsgegevens van de medewerkers van de onderneming. Zodra je merkt dat dit binnen jouw organisatie aan de orde is, dan is de verantwoordelijke voor de gegevensverwerking verplicht om dit vast te leggen in het verwerkingsregister. De Autoriteit Persoonsgegevens kan om je register datalekken vragen. Ernstige lekken dienen direct bij het Meldloket Autoriteit Persoonsgegevens (MAP) gemeld te worden. In sommige gevallen moet je het lek tevens melden aan de persoon/ personen waarvan de gegevens gelekt zijn. Datalekken kunnen bestaan uit: het kwijtraken van een USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.
Wel of niet melden
Of je een datalek moet melden wordt bepaald door de mogelijke impact dat het lek heeft op de bescherming van de persoonsgegevens en de persoonlijke levenssfeer van de betrokkenen waar de gegevens van gelekt zijn. Volgens de wet moet een ernstig lek binnen 72 uur gemeld worden.
Normale bedrijfsvoering
Om binnen je onderneming de werkzaamheden goed uit te kunnen voeren, heb je gegevens nodig van je klanten. Het is de basis, zowel voor de verkoop van producten als voor het leveren van diensten. Een deel van deze gegevens wordt daarbij uitgewisseld tussen bedrijven, doordat ze met elkaar samenwerken. Denk daarbij aan groothandels die hun producten rechtstreeks naar jouw klanten sturen, of de bezorgdienst die ervoor zorgt dat jouw producten bij jouw klanten afgeleverd worden. Denk tevens aan samenwerkingspartners, zoals monteurs die installatiewerkzaamheden voor jouw klanten uitvoeren. Iedereen die met persoonsgegevens omgaat, is verantwoordelijk voor de veiligheid en bescherming daarvan. Met alle bedrijven waarmee je persoonsgegevens deelt, dien je verwerkersovereenkomsten af te sluiten.
Werken met persoonsgegevens
Geef werknemers duidelijke instructies voor het werken met persoonsgegevens. Het is belangrijk om een gedragscode op te stellen, waarin vastgelegd wordt welke persoonsgegevens ingezien mogen worden, hoe ze opgeslagen en verzonden worden. Denk daarbij aan het opslaan van gegevens op een eigen PC, smartphone, tablet of op een onbeveiligde USB stick. Zorg daarnaast voor een goede online en offline beveiliging. Controleer vervolgens of er op de afgesproken manier gewerkt wordt. Op die manier doe je er alles aan om een datalek te voorkomen.
Het vastleggen en/ of melden van datalekken is een onderdeel van de AVG. Wij hebben een voorbeelddocument hiervan. Neem contact met ons op voor vragen hierover, over je privacy statement, verwerkersovereenkomsten of over andere onderdelen van de AVG.
Over Dominique van de Wijgaart- van den Boogaard, auteur van dit artikel
Websites vormen de spil van Duidelijk in Tekst. Van websiteteksten tot blogs en de promotiewerkzaamheden daaromheen, waarbij ik VerkoopBevorderende NLP Technieken verwerk in de teksten.
Naast een deel van de blogs zijn de paginateksten op AVG Steunpunt.nl van mijn hand.
Mijn opdrachtgevers stellen mij regelmatig vragen over de AVG. Deze vragen hebben ervoor gezorgd dat ik deel ben gaan uitmaken van AVG steunpunt.nl.
Meer over Dominique van de Wijgaart- van den Boogaard? Bezoek de website.