Datalekken, hoe bereid je je voor?

De afgelopen periode heb ik gemerkt dat accountants en juristen, in veel opzichten verschillend, in ieder geval één voorliefde delen: we bewaren graag zo veel mogelijk. Documenten verwijderen, daar doen we liever niet aan. Tot ergernis van ICT’ers natuurlijk. Hoewel het veel ruimte kost, leg ik graag veel (zo niet alles) vast, dit is voor mij business as usual. Toch roept vastlegging vaak een negatieve associatie op, omdat het (naast opslagruimte) veel tijd zou kosten.

Helaas voor degenen die niet van vastleggen houden, is dit juist van belang in het kader van de Algemene Verordening Gegevensbescherming (AVG), de nieuwe privacywetgeving die vanaf 25 mei 2018 geldt. Essentieel hierin is namelijk de verantwoordingsplicht, die als een rode draad door de AVG loopt. Deze verantwoordingsplicht houdt in dat je moet kunnen aantonen dat de verplichtingen in de AVG worden nageleefd. Ik geef je een aantal praktische voorbeelden waarmee je kunt voldoen aan je verantwoordingsplicht als het op datalekken aankomt.

Privacy-beleid

Er kan al sprake zijn van een datalek als een medewerker één e-mail aan een foutieve ontvanger verstuurt. Informeer medewerkers daarom over het voorkomen van datalekken en maak hen bewust van risico’s. Leg vast in privacy-beleid hoe medewerkers met privacygevoelige gegevens dienen om te gaan, vooral als zij voor hun werk gebruikmaken van een laptop of een (privé)telefoon.

Tips

  • Wees duidelijk en concreet. Ook in de consequenties van het niet-nakomen van het privacy-beleid.
  • Bespreek het privacy-beleid. Je wilt bewustwording onder je medewerkers bereiken. Door het beleid alleen schriftelijk te verstrekken, schiet het zijn doel voorbij.

Procedure meldplicht datalekken

Als je een datalek direct op de juiste wijze aanpakt, kost de administratie ervan ook minder tijd. Leg daarom schriftelijk vast hoe medewerkers moeten handelen als er sprake is (of kan zijn) van een datalek, bijvoorbeeld in een procedure meldplicht datalekken. Hierin leg je vast wie een melding over een datalek binnen de organisatie afhandelt. Als een medewerker een datalek constateert, meldt hij het datalek direct aan de aangewezen persoon. Deze persoon beslist op basis hiervan of een melding aan de Autoriteit Persoonsgegevens (‘AP’) en eventueel aan de betrokkenen moet plaatsvinden.

Tips 

  • Hou de vaart erin. Laat medewerkers zo spoedig mogelijk het datalek aan de daartoe aangewezen persoon melden, zelfs als de informatie nog niet compleet is. Een eventuele melding aan de AP moet namelijk binnen 72 uur na kennisname van het datalek worden gedaan.
  • Voorkom verwarring bij twijfel. Ook bij twijfel moet de medewerker het datalek melden. De beslissing of daadwerkelijk sprake is van een datalek, blijft zo voorbehouden aan de hiertoe bevoegde persoon.
  • Vraag gericht informatie op. Verstrek medewerkers (eventueel als bijlage bij de procedure meldplicht datalekken) een vragenlijst aan de hand waarvan zij relevante informatie over het datalek kunnen verzamelen. Hierdoor wordt een melding aan de AP (en de betrokkenen) sneller afgehandeld.

Datalekkenregister

Nieuw onder de AVG is dat een verwerkingsverantwoordelijke verplicht is alle datalekken intern te documenteren, zodat de AP kan controleren of (tijdig) aan de meldplicht is voldaan. Dat is dus ongeacht of je het betreffende datalek hebt moeten melden aan de AP en/of de betrokkene(n). Het ligt voor de hand dat degene die eventuele meldingen aan de AP moet doen, ook het overzicht aan datalekken bewaart. Noteer hierbij de feiten en gevolgen van het datalek en de genomen corrigerende maatregelen.

Tips

  • Maak vooraf een datalekkenregister aan. Zorg dat je voorbereid bent en wacht niet tot een datalek plaatsvindt. Op het moment dat een datalek heeft plaatsgevonden en is afgehandeld, staat het register alvast klaar en vul je alleen nog maar de relevante informatie in.
  • Neem alle relevante informatie op in het register. De beoordeling of een datalek gemeld moet worden is van de situatie afhankelijk. Dat maakt de overweging dus lastig; de beoordeling van de feiten is subjectief en de keuze om wel of niet te melden kan per persoon verschillen. Voorkom dat je achteraf niet meer weet hoe de situatie door jou of een (inmiddels oud)collega is beoordeeld. Neem daarom in het datalekkenregister op wanneer en met welke toelichting het datalek aan de AP en/of betrokkenen is gemeld. Als je het datalek niet hebt gemeld, leg dan vast waarom niet.

Bovenstaande voorbeelden zorgen voor een betere en snellere vastlegging. De jurist in mij hoopt stiekem dat het voor jou dan ook business as usual wordt. Wil je meer informatie over vastlegging in het kader van de AVG of heb je andere vragen over de AVG? Aarzel dan niet om contact op te nemen. Neem voor alle AVG-documenten ook een kijkje in onze modellenshop.

Ik wil meer informatie ontvangen over dit onderwerp

(*)
Vul hier je naam in

(*)
Ongeldige invoer

Opmerking (optioneel)

(*)
Ongeldige invoer

Neslihan Bayram

Neslihan Bayram

Juridisch adviseur
Deel dit artikel
Accepteer marketing-cookies om dit artikel te kunnen delen.

Ik wil meer informatie ontvangen over dit onderwerp

Vul hier je naam in

Ongeldige invoer

Opmerking (optioneel)

Ongeldige invoer