Carmen Graauwmans / 3 april 2018

Meldplicht datalekken [blog 7/10]

HR-software, CRM-pakketten en e-mailmarketing: organisaties krijgen met steeds meer data te maken. Het risico op een datalek neemt evident toe. De GDPR verplicht organisaties een datalek te melden. Maar wanneer spreek je eigenlijk van een datalek?

Datalek

Persoonsgegevens worden niet enkel verwerkt in digitale systemen. Ook een dokter die met een papieren map onder de arm een patiënt bezoekt, verwerkt persoonsgegevens. Een datalek kan zich dus op meerdere manieren manifesteren. De GDPR verplicht bedrijven een datalek te melden bij de Autoriteit Persoonsgegevens (AP). In de volgende voorbeelden worden persoonsgegevens verwerkt en kan er sprake zijn van een datalek:

  • Een gestolen bedrijfslaptop
  • Het intekenformulier bij de receptie
  • Een ransomwareaanval
  • Een uitgeprinte offerte op het bureau van een collega

Meldplicht binnen 72 uur

De GDPR verplicht organisaties die een datalek ontdekken de specificaties ervan binnen 72 uur te melden bij de AP. De privacywaakhond heeft een standaardformulier opgesteld die door de verantwoordelijke van het datalek ingevuld moet worden. 72 uur klinkt lang. Maar in de praktijk is 72 uur om handmatig de details van een datalek te verzamelen kort. Te kort. Om adequaat om te gaan met de gevolgen van een datalek moeten organisaties de juiste technische maatregelen treffen en hun bedrijfsprocessen op orde hebben.

GDPR proof bedrijfsprocessen

Veel organisaties hebben niet alle kennis in huis en betrekken partners bij hun bedrijfsvoering. Bijvoorbeeld met een HR-software of een CRM-pakket. Maar wat als het systeem van je partner de oorzaak is van het datalek? Naar de letter van de GDPR moet de eigenaar van de data het datalek melden. In dit voorbeeld zijn de partners ‘slechts’ de verwerker van de persoonsgegevens. Om adequaat om te kunnen gaan met de nieuwe wet- en regelgeving, moeten organisaties afspraken maken met hun partners aangaande verantwoordelijkheid en verwerkingstijd bij een datalek. Een essentieel component hierin is de verwerkersovereenkomst tussen de leverancier en de afnemer – in blog acht gaan we hier dieper op in.

Verstrekkende gevolgen

Organisaties die een datalek te laat melden, lopen het risico op een boete. Eerder legden we uit dat een boete maximaal twintig miljoen euro of 4% van de wereldwijde omzet bedraagt. Hieraan moeten we toevoegen dat dit de strengste categorie is. Voor lichtere overtredingen geldt een maximale boete van tien miljoen euro of 2% van de wereldwijde omzet. Deze overtreding heet dan wel lichter en het bedrag is lager, voor veel bedrijven blijft het een onoverkomelijke boete.

Vragen over meldplicht datalekken

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderende wet. Neem bij vragen contact op met onze informatiebeveiligingspecialisten. We helpen je graag.

De volgende blog, verwerkersovereenkomst, verschijnt maandag 8 april op onze site

Carmen Graauwmans
Heb je vragen over meldplicht datalekken? Stuur mij een bericht en ik neem contact met je op.

Contact

Contact