De AVG stelt strengere eisen aan de registratie van datalekken in een organisatie. Alle datalekken moeten gedocumenteerd worden, inclusief de feiten over het datalek, de gevolgen en de corrigerende maatregelen die zijn genomen. Dit geldt ook voor datalekken die niet bij de Autoriteit Persoonsgegevens gemeld hoeven te worden. Het is voor veel organisaties een moeilijke opgave om te bepalen welk datalek wel gemeld moet worden bij de AP. Waarop moet je eigenlijk letten?
Een datalek moet altijd gemeld worden aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor betrokkenen van wie de gegevens zijn gelekt. Met de meldplicht aan de betrokkene wordt beoogd de betrokkene op de hoogte te stellen van wat er met diens gegevens is gebeurd en welke consequenties die voor zijn belangen heeft. Een datalek is geen doel op zich, maar moet meer gezien worden als een middel om te zorgen dat datalekken worden voorkomen.
In de jaarrapportage meldplicht datalekken 2018 van de AP staat dat niet alle meldplichtige datalekken door organisaties worden gemeld. De AP beschouwt dit als een ernstige zaak en zal in 2019 zich meer focussen op niet gemelde datalekken. Onderzoeken die daaruit voortvloeien, zullen mogelijk tot sancties leiden.
Het is dus voor elke organisatie van belang om de ernst van een datalek goed te onderzoeken. Het efficiënt en effectief behandelen van datalekken moet in elke organisatie centraal staan.
Wilt u meer informatie over onze FG-dienstverlening? Neem dan vrijblijvend contact met ons op.