DATALEKKEN

Wat is het, wanneer is daar sprake van en wat moet je doen?

Heeft u al een datalek gehad? Sinds januari 2016 is het verplicht datalekken te melden, als het een relatief groot datalek was. Maar sinds 25 mei 2018 moet u ook intern documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.

Die dag trad namelijk de AVG / GDPR in werking, met strenge nieuwe eisen over beveiliging, datalekken, hacks en aansprakelijkheid. Zorg er voor dat u ook deze registratie op orde heeft!

1. WANNEER MOET ER GEREGISTREERD WORDEN?

 

Een datalek is iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Bijvoorbeeld bij diefstal van een laptop met daarop een klantenbestand, een hack waarbij persoonsgegevens zijn buitgemaakt, of het verzenden van gegevens naar een foutief e-mailadres.

2. WELKE INFORMATIE MOET ER GEREGISTREERD WORDEN?

U moet de volgende informatie bijhouden van ieder datalek:

  • een korte omschrijving van het lek;

  • wanneer het plaatsvond;

  • wat er met de gegevens is gebeurd (zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd?);

  • van welke groep(en) personen er gegevens gelekt zijn, en om hoeveel personen het gaat;

  • om welke soorten gegevens het gaat.

Daarnaast moet worden geregistreerd:

  • de (mogelijke) gevolgen van de inbreuk (bijvoorbeeld een risico op identiteitsfraude of reputatieschade);

  • de maatregelen die zijn genomen naar aanleiding van het lek. Welke actie is ondernomen om schade te voorkomen of zo veel mogelijk te beperken (bijvoorbeeld het op afstand wissen van gegevens, of het wijzigen van wachtwoorden)? Maar ook: wat heeft u gedaan om te zorgen dat het niet nog een keer kan gebeuren?

Het doel van het registreren is dat ervan kan worden geleerd, om datalekken in de toekomst zo veel mogelijk te voorkomen. Een ander doel is dat daarmee aan de Autoriteit Persoonsgegevens kan worden aangetoond dat datalekken daadwerkelijk worden gemonitord en opgevolgd.


3. MOET IK ELKE INBREUK DIE IK REGISTREER, OOK MELDEN?

Nee, dat hoeft niet altijd. Een inbreuk in verband met persoonsgegevens moet worden gemeld aan de toezichthouder, tenzij het lek geen risico oplevert op negatieve gevolgen als identiteitsfraude of reputatieschade.

In bepaalde gevallen moet u degenen over wie de gegevens gaan (de betrokkenen) op de hoogte stellen.

  • LinkedIn Link
  • Twitter Link

READYGDPR is een site van de  Ready Support Group 

Ready Support Group B.V.  |  KvK 71035095

Oude Enghweg 2

1217 JC  Hilversum

+31 35 713 09 70

 
BTW NL8585.54.707.B01  |  IBAN NL44BUNQ2206070952

copyrights 2019 Ready Support Group

Let op: dit formulier dient niet voor inschrijvingen in onze webinars. Die kunt u alleen hier boeken.