Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Meldplicht datalekken

“De Avg stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Alle datalekken dienen worden gedocumenteerd. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan. Dit is dan ook onderdeel van de verantwoordingsplicht. Dit gaat verder dan de protocolplicht uit de Wbp (inclusief de Wet meldplicht datalekken), die alleen betrekking heeft op de gemelde datalekken.

De Avg maakt onderscheid tussen de melding van een inbreuk in verband persoonsgegevens (datalek) aan de AP en de melding aan betrokkenen. Daarnaast moeten met de komst van de Avg alle inbreuken geregistreerd worden, ongeacht of deze gemeld moeten worden of niet. Dit betekent dat zorginstellingen ook hier als onderdeel van de verantwoordingsplicht een datalekregister zullen moeten aanleggen.

Ook zullen zorginstellingen voorbereidingen moeten treffen voor het geval er een datalek ontstaat. Het is immers niet de vraag of zich een datalek voordoet, maar wanneer.  Bovendien gelden er strikte termijnen voor het melden van datalek aan zowel de AP als de betrokkene, dit moet onverwijld maar uiterlijk binnen 72 uur. Een goede voorbereiding is het halve werk.

Niet alleen moeten alle datalekken geregistreerd worden, maar ook de stappen die zijn  ondernomen indien een datalek heeft plaatsgevonden. Dit betekent ook de overwegingen die de organisatie heeft gemaakt bij de beslissing om een datalek niet te melden aan de AP of de betrokkene omdat er geconcludeerd is dat er geen melding hoeft te worden gedaan. Ook dit is een onderdeel van de verantwoordingsplicht. Als u geen documentatie heeft, kunt u bij navraag door de AP niet aantonen waarom u van mening was dat een melding achterwege kon worden gelaten.

Tips in het kader van de voorbereiding of afhandeling van een datalek

  • Stel een crisisteam in en zorg dat deze is opgeleid voor de afhandeling van datalekken, over een adequaat draaiboek beschikt en zorg voor voldoende kennis.
  • Stel een register van incidenten op en zorg dat alle incidenten in het register worden opgenomen met alle relevante informatie (aard incident, aantal betrokkene, getroffen maatregelen en meldingen).
  • Zorg dat de privacy boekhouding op orde is, deze kan ondersteunend werken bij de afhandeling van een datalek.
  • Richt een centraal punt in waar incidenten gemeld en adequaat opgepakt kunnen worden.