Wie doet de melding van een datalek? FG of verwerkingsverantwoordelijke?

Om snel te kunnen reageren op een datalek moeten scholen maatregelen treffen om ervoor te zorgen dat iedereen een (mogelijk) datalek onmiddellijk signaleert en intern meldt. Het is verstandig om een intern werkproces vast te stellen dat houvast biedt zodra er een datalek is. Voor iedereen moet het duidelijk zijn wie wat gaat doen. Echter gaat het soms mis in de praktijk. Vaak weten medewerkers van scholen niet wie het eerste aanspreekpunt is bij een datalek. Een ander dilemma is dat het niet duidelijk is wie het datalek moet melden bij de AP: de functionaris gegevensbescherming of de verwerkingsverantwoordelijke.

Dubbele petten

Autoriteit Persoonsgegevens geeft aan dat het beter zou om dubbele petten te voorkomen. De verantwoordelijkheid voor het melden van een datalek ligt bij de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke zorgt voor een goede uitvoering van het privacybeleid. De FG adviseert de school over wat een goed privacybeleid is en houdt daar toezicht op.

FG’s moeten aan de slag

FG’s moeten aan de slag om het principe van de meldplicht in scholen nog meer te verduidelijken. Scholen moeten ervoor zorgen dat iedereen op de hoogte is van het ‘werkproces datalekken’. Ter inspiratie kan het stappenplan ‘Kom in actie bij een datalek’ of de privacy-video ‘Wat moet ik doen bij een datalek?’ van AP gebruikt worden.

Bron: Autoriteit Persoonsgegevens

Bent u op zoek naar een functionaris gegevensbescherming of AVG-kennisproducten? Neem dan vrijblijvend contact met ons op. Wij zijn u graag van dienst.

NIEUW: AVG-nieuwsbrief in abonnementsvorm. Speciaal voor scholen ontwikkeld die IBP op een informatieve, ludieke en competitieve manier onder aandacht van hun medewerkers willen brengen.