Berichten over datalekken bereiken regelmatig het nieuws. Het kan iedere organisatie overkomen en dat op talloze manieren: van een geslaagde hackpoging tot een verkeerd geadresseerd mailtje. Zodra een datalek zich voordoet moet u overgaan tot actie. In sommige gevallen moeten ook de betrokkenen geïnformeerd worden, maar hoe doet u dat eigenlijk?

Allereerst: wanneer moet een datalek gemeld worden aan betrokkenen?

Zijn persoonsgegevens (mogelijk) onrechtmatig verwerkt of verloren gegaan?

Dan spreken we van een datalek.

Het belangrijkste uitgangspunt bij de beoordeling van een datalek, is het risico dat het lek vormt voor de rechten en vrijheden van natuurlijke personen.

Zo is het risico bij gevoelige persoonsgegevens als strafbare feiten of medische gegevens veel groter dan bij NAW-gegevens. Wat ook meeweegt in de beoordeling is de vraag wie de gegevens in handen heeft gekregen. Een door een kwaadwillende gehackt bestand kent immers een veel groter risico, dan een verkeerd geadresseerd mailtje naar een vertrouwde organisatie.

Indien er sprake is van een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens, moet dit binnen 72 uur. Bij een hoog risico moet u daarnaast ook betrokkenen informeren. Hoeft u een datalek niet te melden bij de AP? Dan hoeft u het ook niet te melden aan de slachtoffers.

Ontdekken of het datalek binnen uw organisatie gemeld moet worden bij betrokkenen?

Bekijk dan de voorbeeldlijst wel/niet melden aan de Autoriteit Persoonsgegevens en betrokken personen. Deze helpt u bij het maken van een gedegen afweging.

Betrokkenen inlichten over een datalek in 5 stappen

Als u betrokkenen volgens de regels van de AVG moet informeren over een datalek, dan moet u dit rechtstreeks doen. Een algemeen bericht op een website is dus niet voldoende. U kunt betrokkenen onder meer benaderen via e-mail, sms, per brief (hoeft niet aangetekend) of telefonisch, net wat bij de doelgroep en uw organisatie past.

De AVG verplicht u om de betrokkenen goed te informeren. In de communicatie naar hen toe vertelt u in 5 stappen wat er gebeurd is en welke maatregelen ze kunnen nemen om zichzelf te beschermen. Hieronder lopen we in het kort de 5 stappen met u door.

Stap 1: dit is er gebeurd

Allereerst licht u het datalek toe. U vertelt welke persoonsgegevens geraakt zijn en of deze verloren zijn gegaan, verwijderd zijn, onrechtmatig verwerkt etc.

Daarnaast is het belangrijk om uit te leggen wat er met de persoonsgegevens is gebeurd: zijn ze bijvoorbeeld in handen gekomen van hackers of zijn ze door een fout ontoegankelijk geworden.

Stap 2: de (mogelijke) gevolgen

Vervolgens deelt u de (vermoedelijke) gevolgen van de datalek. Wellicht wordt niet alleen de privacy van betrokkenen geschonden, maar bestaat er ook een kans op (materiële) schade. Maak concreet welke schade de betrokkene kan treffen.

Ook als er een kans bestaat op identiteitsfraude of het ontvangen van phishingmails door kwaadwillenden, dan moet u dit aan hen melden.

Stap 3: de maatregelen

Welke maatregelen gaat u treffen of heeft u al getroffen om de risico’s en schade te beperken? Mocht u extern advies hierover ingewonnen hebben, deel dit (inclusief het advies) dan ook met de betrokkenen.

Stap 4: actie ondernemen

Als de betrokkenen zelf iets kunnen doen, informeer ze hier dan over. Dit kan zijn het wijzigen van een wachtwoord of alert zijn op mogelijke phishing mails of signalen van identiteitsfraude. U kunt hiervoor ook kijken op de webpagina voor slachtoffers van een datalek van de Autoriteit Persoonsgegevens en hen daar eventueel ook naar verwijzen.

Stap 5: vragen stellen

Informeer de betrokkenen tot slot bij wie ze binnen uw organisatie terecht kunnen met vragen over het datalek. Dit kan zijn de Functionaris Gegevensbescherming (FG) of een ander contactpersoon die gaat over de privacy.

Meer weten over datalekken en de acties die u (preventief) kunt nemen?

Lees dan ook onze blogs:

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.