Datalek melden bij de AP? Volg dan de volgende stappen!


Sinds 2016 is elke organisatie die persoonsgegevens verwerkt verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan. Maar wanneer en hoe moet je een datalek melden bij de AP? En kun je een melding ook weer intrekken? In de praktijk blijken hier nog veel vragen over te zijn. Daarom in deze blog een aantal stappen die je moet doorlopen in het geval van een datalek.

In principe luidt de regel dat alle datalekken gemeld moeten worden bij de AP. De enige uitzondering op deze regel is wanneer het onwaarschijnlijk is dat er risico’s zijn voor de privacy van betrokkenen. Echter ligt de lat hierbij erg laag: er is namelijk al snel sprake van een risico voor de privacy van betrokkenen. Zo kan een datalek een risico vormen vanwege haar omvang of vanwege de hoeveelheid data of gevoeligheid van de betrokken gegevens, denk aan een USB-stick met niet-versleutelde persoonsgegevens, een medisch dossier of verkeerd geadresseerde brieven met gevoelige informatie. Indien er zich een datalek heeft voorgedaan is het daarom belangrijk om een aantal stappen te doorlopen:

Stap 1: Breng de situatie in kaart

Om te beoordelen of je het datalek moet melden bij de AP is het belangrijk om een goed overzicht te hebben van de situatie: Wat is er precies gebeurd? Welke persoonsgegevens zijn er gelekt? Wat is de omvang van het datalek? En welke personen hebben er mogelijk toegang gehad tot de gelekte gegevens? Zorg ook altijd dat je direct maatregelen neemt om verdere schade te voorkomen.

Stap 2: Datalek wel of niet melden?

Het hangt van de situatie af of je een datalek wel of niet moet melden bij de AP. Wanneer je een goed overzicht hebt van de situatie kun je de afweging maken of je het datalek moet melden bij de AP of niet. Naast de Functionaris Gegevensbescherming (FG), heeft ook de gemeentesecretaris hier een verantwoordelijkheid in, zeker wanneer bijvoorbeeld besloten wordt om een datalek niet te melden. De FG kan in dat geval wel zijn/haar advies geven.

Stap 3: Melding maken bij de AP

Wanneer het datalek gemeld moet worden bij de AP, dan doe je dit via het Meldloket datalekken van de AP. Hier kun je een datalek melden, maar ook een bestaande melding aanpassen of intrekken. Bij een nieuwe melding kies je voor ‘Nieuwe melding indienen’. Je krijgt dan een formulier te zien dat je zo volledig mogelijk moet invullen. Om goed voorbereid te zijn, onderstaand een overzicht van wat je allemaal moet opgeven:

  1. Contactgegevens en algemene informatie – Over welke organisatie gaat het? Wie meldt het datalek? Wie is de contactpersoon voor de AP? Zijn er andere organisaties bij betrokken?
  2. Tijdlijn – Wanneer heeft het datalek plaatsgevonden? Wanneer werd het datalek ontdekt? Indien de melding van het datalek later is dan 72 uur na ontdekking, wat is daarvan de reden?
  3. Gegevens over het datalek – Wat is de aard van de inbreuk en het incident?
  4. Persoonsgegevens die betrokken zijn bij het datalek – Welke persoonsgegevens zijn gelekt? Zaten hier bijzondere persoonsgegevens bij? Van hoeveel personen zijn er persoonsgegevens gelekt?
  5. De groep mensen van wie persoonsgegevens betrokken zijn bij het datalek – Wie zijn de betrokkenen? Bijvoorbeeld: inwoners, werknemers, klanten, studenten, patiënten et cetera.
  6. Maatregelen die zijn getroffen voordat het datalek plaatsvond – Waren de gegevens ontoegankelijk voor onbevoegden? Bijvoorbeeld door versleuteling/encryptie.
  7. Gevolgen van het datalek – Kan de inbreuk gevolgen hebben op de vertrouwelijkheid, integriteit en/of de beschikbaarheid van gegevens? Zijn er gevolgen voor de persoonlijke levenssfeer van de betrokkenen?
  8. Vervolgacties naar aanleiding van het datalek – Is of wordt het datalek gemeld aan betrokkenen? Zijn of worden er technische en organisatorische maatregelen getroffen om verdere inbreuken te voorkomen? Is er sprake van grensoverschrijdende gegevensverwerking?

Nadat je de melding hebt gedaan, zie je een verzendbevestiging met een meldingsnummer. Sla deze pagina goed op als pdf en sluit hem dan pas af. Je krijgt geen afschrift en bij verdere communicatie met de AP over je melding heb je dit nummer namelijk nodig. Als je de verzendbevestiging zelf niet opslaat kan je niet meer terughalen wat je hebt ingediend.

Stap 4: Bestaande melding aanpassen

Zoals bekend moet je een datalek binnen 72 uur melden bij de AP. Uiteraard kan het zo zijn dat je dan nog geen volledig onderzoek hebt kunnen verrichten naar het datalek. Het is daarom mogelijk om een bestaande melding te wijzigingen. In dat geval ga je bij het Meldloket naar het formulier ‘Bestaande melding aanpassen’. Zorg ervoor dat je het meldingsnummer, dat je gekregen hebt toen je de melding deed, bij de hand hebt. Vervolgens doorloop je weer het formulier waar je de aanpassingen kunt doorvoeren.

Stap 5: Bestaande melding ongedaan maken

Tot slot, kan het zo zijn dat iets achteraf toch geen datalek blijkt te zijn of dat de impact voor de betrokkene na onderzoek niet van toepassing bleek te zijn. In dat geval is het mogelijk om een bestaande melding in te trekken. Dit doe je via het formulier ‘Melding intrekken’. Houdt ook hier weer het eerder verkregen meldingsnummer bij de hand. Vervolgens vul je hier in wat de reden van intrekking is. Naast dat je bovenstaande stappen hebt doorlopen, is het uiteraard belangrijk dat je het datalek registreert in een datalekkenregister. Neem hierin op om welk datalek het gaat en wat de oorzaak, gevolgen en maatregelen zijn geweest die je als organisatie hebt getroffen. Hoe je een datalekkenregister moet bijhouden lees je hier.

Better safe than sorry

Let op! Zorg dat je een datalek altijd meldt, ook wanneer het onderzoek naar het datalek nog loopt. Het niet melden van een datalek kan namelijk risico’s met zich meebrengen. Wanneer je een datalek niet meldt, riskeer je een boete die kan oplopen tot 825.000 euro of 4% van de wereldwijde omzet. Mocht het achteraf toch geen datalek blijken te zijn, dan kun je de melding altijd intrekken (zie hierboven).

Meer informatie?

De AP vervolgt haar campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen. Daarnaast zijn bestaande Q&A’s aangepast en nieuwe toegevoegd.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.


Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Meten, weten en rapporteren over informatiebeveiliging

Het monitoren en meten van en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Maar waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

De afgelopen maanden is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s. De Rijksoverheid heeft DPIA’s …

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …

Kennisproducten ter ondersteuning implementatie BIO; wanneer gebruik je wat?

Om gemeenten bij de implementatie van de BIO te ondersteunen heeft de IBD handige kennisproducten ontwikkeld die je op weg kunnen helpen. Maar welke producten zijn er nu allemaal precies, waar dienen ze voor en wat is de onderlinge samenhang? In d…

Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. Maar hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In d…

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!