Skip to main content

Datalek melden bij de AP? Volg dan de volgende stappen!


Sinds 2016 is elke organisatie die persoonsgegevens verwerkt verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan. Maar wanneer en hoe moet je een datalek melden bij de AP? En kun je een melding ook weer intrekken? In de praktijk blijken hier nog veel vragen over te zijn. Daarom in deze blog een aantal stappen die je moet doorlopen in het geval van een datalek.

In principe luidt de regel dat alle datalekken gemeld moeten worden bij de AP. De enige uitzondering op deze regel is wanneer het onwaarschijnlijk is dat er risico’s zijn voor de privacy van betrokkenen. Echter ligt de lat hierbij erg laag: er is namelijk al snel sprake van een risico voor de privacy van betrokkenen. Zo kan een datalek een risico vormen vanwege haar omvang of vanwege de hoeveelheid data of gevoeligheid van de betrokken gegevens, denk aan een USB-stick met niet-versleutelde persoonsgegevens, een medisch dossier of verkeerd geadresseerde brieven met gevoelige informatie. Indien er zich een datalek heeft voorgedaan is het daarom belangrijk om een aantal stappen te doorlopen:

Stap 1: Breng de situatie in kaart

Om te beoordelen of je het datalek moet melden bij de AP is het belangrijk om een goed overzicht te hebben van de situatie: Wat is er precies gebeurd? Welke persoonsgegevens zijn er gelekt? Wat is de omvang van het datalek? En welke personen hebben er mogelijk toegang gehad tot de gelekte gegevens? Zorg ook altijd dat je direct maatregelen neemt om verdere schade te voorkomen.

Stap 2: Datalek wel of niet melden?

Het hangt van de situatie af of je een datalek wel of niet moet melden bij de AP. Wanneer je een goed overzicht hebt van de situatie kun je de afweging maken of je het datalek moet melden bij de AP of niet. Naast de Functionaris Gegevensbescherming (FG), heeft ook de gemeentesecretaris hier een verantwoordelijkheid in, zeker wanneer bijvoorbeeld besloten wordt om een datalek niet te melden. De FG kan in dat geval wel zijn/haar advies geven.

Stap 3: Melding maken bij de AP

Wanneer het datalek gemeld moet worden bij de AP, dan doe je dit via het Meldloket datalekken van de AP. Hier kun je een datalek melden, maar ook een bestaande melding aanpassen of intrekken. Bij een nieuwe melding kies je voor ‘Nieuwe melding indienen’. Je krijgt dan een formulier te zien dat je zo volledig mogelijk moet invullen. Om goed voorbereid te zijn, onderstaand een overzicht van wat je allemaal moet opgeven:

  1. Contactgegevens en algemene informatie – Over welke organisatie gaat het? Wie meldt het datalek? Wie is de contactpersoon voor de AP? Zijn er andere organisaties bij betrokken?
  2. Tijdlijn – Wanneer heeft het datalek plaatsgevonden? Wanneer werd het datalek ontdekt? Indien de melding van het datalek later is dan 72 uur na ontdekking, wat is daarvan de reden?
  3. Gegevens over het datalek – Wat is de aard van de inbreuk en het incident?
  4. Persoonsgegevens die betrokken zijn bij het datalek – Welke persoonsgegevens zijn gelekt? Zaten hier bijzondere persoonsgegevens bij? Van hoeveel personen zijn er persoonsgegevens gelekt?
  5. De groep mensen van wie persoonsgegevens betrokken zijn bij het datalek – Wie zijn de betrokkenen? Bijvoorbeeld: inwoners, werknemers, klanten, studenten, patiënten et cetera.
  6. Maatregelen die zijn getroffen voordat het datalek plaatsvond – Waren de gegevens ontoegankelijk voor onbevoegden? Bijvoorbeeld door versleuteling/encryptie.
  7. Gevolgen van het datalek – Kan de inbreuk gevolgen hebben op de vertrouwelijkheid, integriteit en/of de beschikbaarheid van gegevens? Zijn er gevolgen voor de persoonlijke levenssfeer van de betrokkenen?
  8. Vervolgacties naar aanleiding van het datalek – Is of wordt het datalek gemeld aan betrokkenen? Zijn of worden er technische en organisatorische maatregelen getroffen om verdere inbreuken te voorkomen? Is er sprake van grensoverschrijdende gegevensverwerking?

Nadat je de melding hebt gedaan, zie je een verzendbevestiging met een meldingsnummer. Sla deze pagina goed op als pdf en sluit hem dan pas af. Je krijgt geen afschrift en bij verdere communicatie met de AP over je melding heb je dit nummer namelijk nodig. Als je de verzendbevestiging zelf niet opslaat kan je niet meer terughalen wat je hebt ingediend.

Stap 4: Bestaande melding aanpassen

Zoals bekend moet je een datalek binnen 72 uur melden bij de AP. Uiteraard kan het zo zijn dat je dan nog geen volledig onderzoek hebt kunnen verrichten naar het datalek. Het is daarom mogelijk om een bestaande melding te wijzigingen. In dat geval ga je bij het Meldloket naar het formulier ‘Bestaande melding aanpassen’. Zorg ervoor dat je het meldingsnummer, dat je gekregen hebt toen je de melding deed, bij de hand hebt. Vervolgens doorloop je weer het formulier waar je de aanpassingen kunt doorvoeren.

Stap 5: Bestaande melding ongedaan maken

Tot slot, kan het zo zijn dat iets achteraf toch geen datalek blijkt te zijn of dat de impact voor de betrokkene na onderzoek niet van toepassing bleek te zijn. In dat geval is het mogelijk om een bestaande melding in te trekken. Dit doe je via het formulier ‘Melding intrekken’. Houdt ook hier weer het eerder verkregen meldingsnummer bij de hand. Vervolgens vul je hier in wat de reden van intrekking is. Naast dat je bovenstaande stappen hebt doorlopen, is het uiteraard belangrijk dat je het datalek registreert in een datalekkenregister. Neem hierin op om welk datalek het gaat en wat de oorzaak, gevolgen en maatregelen zijn geweest die je als organisatie hebt getroffen. Hoe je een datalekkenregister moet bijhouden lees je hier.

Better safe than sorry

Let op! Zorg dat je een datalek altijd meldt, ook wanneer het onderzoek naar het datalek nog loopt. Het niet melden van een datalek kan namelijk risico’s met zich meebrengen. Wanneer je een datalek niet meldt, riskeer je een boete die kan oplopen tot 825.000 euro of 4% van de wereldwijde omzet. Mocht het achteraf toch geen datalek blijken te zijn, dan kun je de melding altijd intrekken (zie hierboven).

Meer informatie?

De AP vervolgt haar campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen. Daarnaast zijn bestaande Q&A’s aangepast en nieuwe toegevoegd.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.


Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…