Datalek melden bij de AP? Volg dan de volgende stappen!

| Erna Havinga | ,

Sinds 2016 is elke organisatie die persoonsgegevens verwerkt verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan. Maar wanneer en hoe moet je een datalek melden bij de AP? En kun je een melding ook weer intrekken? In de praktijk blijken hier nog veel vragen over te zijn. Daarom in deze blog een aantal stappen die je moet doorlopen in het geval van een datalek.

In principe luidt de regel dat alle datalekken gemeld moeten worden bij de AP. De enige uitzondering op deze regel is wanneer het onwaarschijnlijk is dat er risico’s zijn voor de privacy van betrokkenen. Echter ligt de lat hierbij erg laag: er is namelijk al snel sprake van een risico voor de privacy van betrokkenen. Zo kan een datalek een risico vormen vanwege haar omvang of vanwege de hoeveelheid data of gevoeligheid van de betrokken gegevens, denk aan een USB-stick met niet-versleutelde persoonsgegevens, een medisch dossier of verkeerd geadresseerde brieven met gevoelige informatie. Indien er zich een datalek heeft voorgedaan is het daarom belangrijk om een aantal stappen te doorlopen:

Stap 1: Breng de situatie in kaart

Om te beoordelen of je het datalek moet melden bij de AP is het belangrijk om een goed overzicht te hebben van de situatie: Wat is er precies gebeurd? Welke persoonsgegevens zijn er gelekt? Wat is de omvang van het datalek? En welke personen hebben er mogelijk toegang gehad tot de gelekte gegevens? Zorg ook altijd dat je direct maatregelen neemt om verdere schade te voorkomen.

Stap 2: Datalek wel of niet melden?

Het hangt van de situatie af of je een datalek wel of niet moet melden bij de AP. Wanneer je een goed overzicht hebt van de situatie kun je de afweging maken of je het datalek moet melden bij de AP of niet. Naast de Functionaris Gegevensbescherming (FG), heeft ook de gemeentesecretaris hier een verantwoordelijkheid in, zeker wanneer bijvoorbeeld besloten wordt om een datalek niet te melden. De FG kan in dat geval wel zijn/haar advies geven.

Stap 3: Melding maken bij de AP

Wanneer het datalek gemeld moet worden bij de AP, dan doe je dit via het Meldloket datalekken van de AP. Hier kun je een datalek melden, maar ook een bestaande melding aanpassen of intrekken. Bij een nieuwe melding kies je voor ‘Nieuwe melding indienen’. Je krijgt dan een formulier te zien dat je zo volledig mogelijk moet invullen. Om goed voorbereid te zijn, onderstaand een overzicht van wat je allemaal moet opgeven:

  1. Contactgegevens en algemene informatie – Over welke organisatie gaat het? Wie meldt het datalek? Wie is de contactpersoon voor de AP? Zijn er andere organisaties bij betrokken?
  2. Tijdlijn – Wanneer heeft het datalek plaatsgevonden? Wanneer werd het datalek ontdekt? Indien de melding van het datalek later is dan 72 uur na ontdekking, wat is daarvan de reden?
  3. Gegevens over het datalek – Wat is de aard van de inbreuk en het incident?
  4. Persoonsgegevens die betrokken zijn bij het datalek – Welke persoonsgegevens zijn gelekt? Zaten hier bijzondere persoonsgegevens bij? Van hoeveel personen zijn er persoonsgegevens gelekt?
  5. De groep mensen van wie persoonsgegevens betrokken zijn bij het datalek – Wie zijn de betrokkenen? Bijvoorbeeld: inwoners, werknemers, klanten, studenten, patiënten et cetera.
  6. Maatregelen die zijn getroffen voordat het datalek plaatsvond – Waren de gegevens ontoegankelijk voor onbevoegden? Bijvoorbeeld door versleuteling/encryptie.
  7. Gevolgen van het datalek – Kan de inbreuk gevolgen hebben op de vertrouwelijkheid, integriteit en/of de beschikbaarheid van gegevens? Zijn er gevolgen voor de persoonlijke levenssfeer van de betrokkenen?
  8. Vervolgacties naar aanleiding van het datalek – Is of wordt het datalek gemeld aan betrokkenen? Zijn of worden er technische en organisatorische maatregelen getroffen om verdere inbreuken te voorkomen? Is er sprake van grensoverschrijdende gegevensverwerking?

Nadat je de melding hebt gedaan, zie je een verzendbevestiging met een meldingsnummer. Sla deze pagina goed op als pdf en sluit hem dan pas af. Je krijgt geen afschrift en bij verdere communicatie met de AP over je melding heb je dit nummer namelijk nodig. Als je de verzendbevestiging zelf niet opslaat kan je niet meer terughalen wat je hebt ingediend.

Stap 4: Bestaande melding aanpassen

Zoals bekend moet je een datalek binnen 72 uur melden bij de AP. Uiteraard kan het zo zijn dat je dan nog geen volledig onderzoek hebt kunnen verrichten naar het datalek. Het is daarom mogelijk om een bestaande melding te wijzigingen. In dat geval ga je bij het Meldloket naar het formulier ‘Bestaande melding aanpassen’. Zorg ervoor dat je het meldingsnummer, dat je gekregen hebt toen je de melding deed, bij de hand hebt. Vervolgens doorloop je weer het formulier waar je de aanpassingen kunt doorvoeren.

Stap 5: Bestaande melding ongedaan maken

Tot slot, kan het zo zijn dat iets achteraf toch geen datalek blijkt te zijn of dat de impact voor de betrokkene na onderzoek niet van toepassing bleek te zijn. In dat geval is het mogelijk om een bestaande melding in te trekken. Dit doe je via het formulier ‘Melding intrekken’. Houdt ook hier weer het eerder verkregen meldingsnummer bij de hand. Vervolgens vul je hier in wat de reden van intrekking is. Naast dat je bovenstaande stappen hebt doorlopen, is het uiteraard belangrijk dat je het datalek registreert in een datalekkenregister. Neem hierin op om welk datalek het gaat en wat de oorzaak, gevolgen en maatregelen zijn geweest die je als organisatie hebt getroffen. Hoe je een datalekkenregister moet bijhouden lees je hier.

Better safe than sorry

Let op! Zorg dat je een datalek altijd meldt, ook wanneer het onderzoek naar het datalek nog loopt. Het niet melden van een datalek kan namelijk risico’s met zich meebrengen. Wanneer je een datalek niet meldt, riskeer je een boete die kan oplopen tot 825.000 euro of 4% van de wereldwijde omzet. Mocht het achteraf toch geen datalek blijken te zijn, dan kun je de melding altijd intrekken (zie hierboven).

Meer informatie?

De AP vervolgt haar campagne ‘Wat betekent de privacywet voor jou(w bedrijf)?’ met praktische informatie over o.a. datalekken. Zoals een privacyvideo over wat te doen bij een datalek en tips om datalekken te voorkomen. Daarnaast zijn bestaande Q&A’s aangepast en nieuwe toegevoegd.

Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.
Verder lezen

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…
Verder lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap