• Home
  • blogs
  • Datalek melden bij de AP? Volg dan de volgende stappen!

Datalek melden bij de AP? Volg dan de volgende stappen!

Sinds 2016 is elke organisatie die persoonsgegevens verwerkt verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan. Maar wanneer en hoe moet je een datalek melden bij de AP? En kun je een melding ook weer intrekken? In de praktijk blijken hier nog veel vragen over te zijn. Daarom in deze blog een aantal stappen die je moet doorlopen in het geval van een datalek.

In principe luidt de regel dat alle datalekken gemeld moeten worden bij de AP. De enige uitzondering op deze regel is wanneer het onwaarschijnlijk is dat er risico’s zijn voor de privacy van betrokkenen. Echter ligt de lat hierbij erg laag: er is namelijk al snel sprake van een risico voor de privacy van betrokkenen. Zo kan een datalek een risico vormen vanwege haar omvang of vanwege de hoeveelheid data of gevoeligheid van de betrokken gegevens, denk aan een USB-stick met niet-versleutelde persoonsgegevens, een medisch dossier of verkeerd geadresseerde brieven met gevoelige informatie. Indien er zich een datalek heeft voorgedaan is het daarom belangrijk om een aantal stappen te doorlopen:

Stap 1: Breng de situatie in kaart

Om te beoordelen of je het datalek moet melden bij de AP is het belangrijk om een goed overzicht te hebben van de situatie: Wat is er precies gebeurd? Welke persoonsgegevens zijn er gelekt? Wat is de omvang van het datalek? En welke personen hebben er mogelijk toegang gehad tot de gelekte gegevens? Zorg ook altijd dat je direct maatregelen neemt om verdere schade te voorkomen.

Stap 2: Datalek wel of niet melden?

Het hangt van de situatie af of je een datalek wel of niet moet melden bij de AP. Wanneer je een goed overzicht hebt van de situatie kun je de afweging maken of je het datalek moet melden bij de AP of niet. Naast de Functionaris Gegevensbescherming (FG), heeft ook de gemeentesecretaris hier een verantwoordelijkheid in, zeker wanneer bijvoorbeeld besloten wordt om een datalek niet te melden. De FG kan in dat geval wel zijn/haar advies geven.

Stap 3: Melding maken bij de AP

Wanneer het datalek gemeld moet worden bij de AP, dan doe je dit via het Meldloket datalekken van de AP. Hier kun je een datalek melden, maar ook een bestaande melding aanpassen of intrekken. Bij een nieuwe melding kies je voor ‘Nieuwe melding indienen’. Je krijgt dan een formulier te zien dat je zo volledig mogelijk moet invullen. Om goed voorbereid te zijn, onderstaand een overzicht van wat je allemaal moet opgeven:

  1. Contactgegevens en algemene informatie – Over welke organisatie gaat het? Wie meldt het datalek? Wie is de contactpersoon voor de AP? Zijn er andere organisaties bij betrokken?
  2. Tijdlijn – Wanneer heeft het datalek plaatsgevonden? Wanneer werd het datalek ontdekt? Indien de melding van het datalek later is dan 72 uur na ontdekking, wat is daarvan de reden?
  3. Gegevens over het datalek – Wat is de aard van de inbreuk en het incident?
  4. Persoonsgegevens die betrokken zijn bij het datalek – Welke persoonsgegevens zijn gelekt? Zaten hier bijzondere persoonsgegevens bij? Van hoeveel personen zijn er persoonsgegevens gelekt?
  5. De groep mensen van wie persoonsgegevens betrokken zijn bij het datalek – Wie zijn de betrokkenen? Bijvoorbeeld: inwoners, werknemers, klanten, studenten, patiënten et cetera.
  6. Maatregelen die zijn getroffen voordat het datalek plaatsvond – Waren de gegevens ontoegankelijk voor onbevoegden? Bijvoorbeeld door versleuteling/encryptie.
  7. Gevolgen van het datalek – Kan de inbreuk gevolgen hebben op de vertrouwelijkheid, integriteit en/of de beschikbaarheid van gegevens? Zijn er gevolgen voor de persoonlijke levenssfeer van de betrokkenen?
  8. Vervolgacties naar aanleiding van het datalek – Is of wordt het datalek gemeld aan betrokkenen? Zijn of worden er technische en organisatorische maatregelen getroffen om verdere inbreuken te voorkomen? Is er sprake van grensoverschrijdende gegevensverwerking?

Nadat je de melding hebt gedaan, zie je een verzendbevestiging met een meldingsnummer. Sla deze pagina goed op als pdf en sluit hem dan pas af. Je krijgt geen afschrift en bij verdere communicatie met de AP over je melding heb je dit nummer namelijk nodig. Als je de verzendbevestiging zelf niet opslaat kan je niet meer terughalen wat je hebt ingediend.

Stap 4: Bestaande melding aanpassen

Zoals bekend moet je een datalek binnen 72 uur melden bij de AP. Uiteraard kan het zo zijn dat je dan nog geen volledig onderzoek hebt kunnen verrichten naar het datalek. Het is daarom mogelijk om een bestaande melding te wijzigingen. In dat geval ga je bij het Meldloket naar het formulier ‘Bestaande melding aanpassen’. Zorg ervoor dat je het meldingsnummer, dat je gekregen hebt toen je de melding deed, bij de hand hebt. Vervolgens doorloop je weer het formulier waar je de aanpassingen kunt doorvoeren.

Stap 5: Bestaande melding ongedaan maken

Tot slot, kan het zo zijn dat iets achteraf toch geen datalek blijkt te zijn of dat de impact voor de betrokkene na onderzoek niet van toepassing bleek te zijn. In dat geval is het mogelijk om een bestaande melding in te trekken. Dit doe je via het formulier ‘Melding intrekken’. Houdt ook hier weer het eerder verkregen meldingsnummer bij de hand. Vervolgens vul je hier in wat de reden van intrekking is. Naast dat je bovenstaande stappen hebt doorlopen, is het uiteraard belangrijk dat je het datalek registreert in een datalekkenregister. Neem hierin op om welk datalek het gaat en wat de oorzaak, gevolgen en maatregelen zijn geweest die je als organisatie hebt getroffen. Hoe je een datalekkenregister moet bijhouden lees je hier.

Better safe than sorry

Let op! Zorg dat je een datalek altijd meldt, ook wanneer het onderzoek naar het datalek nog loopt. Het niet melden van een datalek kan namelijk risico’s met zich meebrengen. Wanneer je een datalek niet meldt, riskeer je een boete die kan oplopen tot 825.000 euro of 4% van de wereldwijde omzet. Mocht het achteraf toch geen datalek blijken te zijn, dan kun je de melding altijd intrekken (zie hierboven).

Meer informatie?

De AP vervolgt haar campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen. Daarnaast zijn bestaande Q&A’s aangepast en nieuwe toegevoegd.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.


Toezicht houden als FG, hoe doe ik dat?

Copyright © 2014-2019 IB&P B.V. - Privacy Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap