Meer informatie:

MEER INFORMATIE

Meldplicht datalekken

Volgend artikel 32 moet de verwerkingsverantwoordelijke de verwerking passend beveiligen. Het kan echter voorkomen dat persoonsgegevens toegankelijk worden gemaakt voor personen die daar geen toegang tot moeten hebben. In bepaalde gevallen moet zo’n datalek gemeld worden.

Datalek

Er is sprake van een datalek indien er een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden. Een datalek kan ontstaan door beveiligingsproblemen: een kwijtgeraakte usb-stick, een gestolen laptop, een inbraak in een databestand, maar bijvoorbeeld ook al een verkeerd doorgestuurde email. Hierdoor kunnen persoonsgegevens in de handen van derden vallen die hier eigenlijk geen toegang tot mogen hebben.

In bepaalde gevallen moet een datalek worden gemeld aan de Autoriteit Persoonsgegevens (AP) of de betrokkene.

MELDPLICHT AUTORITEIT PERSOONSGEGEVENS

Een inbreuk in verband met persoonsgegevens moet door de verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk 72 uur nadat hij er kennis van heeft genomen, gemeld worden aan de AP. Gebeurt dit later dan 72 uur na de inbreuk, dan moet de melding vergezeld worden van een motivering voor vertraging.

MELDPLICHT BETROKKENE

Als de inbreuk in alle waarschijnlijkheid een hoog risico met zich meebrengt voor de rechten en vrijheden van de personen wiens persoonsgegevens het betreffen, moet de verwerkingsverantwoordelijke de inbreuk ook aan de betrokkene meedelen. Dit moet in duidelijke en eenvoudige taal gebeuren. De betrokkene hoeft niet ingelicht te worden wanneer:

  • er passende technische en organisatorische beschermingsmaatregelen genomen zijn en deze zijn toegepast waardoor de persoonsgegevens onbegrijpelijk zijn voor onbevoegden;
  • er achteraf maatregelen genomen zijn waardoor het hoge risico voor de rechten en vrijheden van de betrokken zich waarschijnlijk niet meer zal voordoen;
  • de mededeling onevenredige inspanningen zou vergen. Een openbare mededeling voldoet dan ook.

REGISTER DATALEKKEN

De verwerkingsverantwoordelijke moet alle inbreuken in verband met persoonsgegevens registreren in een overzicht, ook als een inbreuk niet gemeld hoeft te worden. In zo’n register wordt bijvoorbeeld omschreven wat er feitelijk gebeurd is, welke maatregelen zijn genomen en of de inbreuk gemeld is.

Na de van toepassing wording van de AVG heeft de AP verschillende registers van datalekken van overheidsorganisaties gecontroleerd op kwaliteit. Naar aanleiding hiervan heeft de toezichthouder tien praktische tips geformuleerd die organisaties kunnen toepassen om de registratie van datalekken beter te organiseren.

MEER WETEN OVER Datalekken?

Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.

Stel direct uw vraag


Meer informatie:

MEER INFORMATIE

Nieuws Meldplicht datalekken

Datalekken, privacy en Functionaris voor Gegevensbescherming op de Werken met Europa borrel

Op donderdag 30 maart vond de Werken met Europa borrel plaats bij Europa decentraal. Dit netwerkevent stond in het teken van de Algemene verordening gegevensbescherming (AVG), waaraan decentrale overheden zich vanaf 25 mei 2018 moeten houden. Voorbereidingen moeten nu al getroffen worden om straks aan de voorwaarden uit de verordening te voldoen.

Lees het volledige bericht

Nieuwe EU-privacyregels: geen ver-van-mijn-bed-show

Het lijkt misschien nog een ver-van-uw-bed-show, maar vanaf 25 mei 2018 moeten naast bedrijven ook gemeenten, provincies en waterschappen zich aan de nieuwe Europese regels omtrent privacy houden. Kortom: wanneer persoonsgegevens verwerkt worden, moeten de bepalingen uit de Algemene verordening gegevensbescherming (AVG) toegepast worden. Iedere gemeente, provincie of waterschap verwerkt namelijk persoonsgegevens. Gemeenten hebben bijvoorbeeld de wettelijke verplichting om de Basisregistratie Personen (BPR) te beheren. Maar ook bij het afgeven van vergunningen worden persoonsgegevens verzameld.

Lees het volledige bericht

EU en VS bereiken akkoord over kader uitwisseling data

De Europese Unie en de Verenigde Staten zijn dinsdag 2 februari tot een akkoord gekomen over een kader in de onderhandelingen over data-uitwisseling. In dit nieuwe akkoord wordt de privacy van Europese burgers in de opslag van data wel gewaarborgd. Ook heeft minister Kamp van Economische Zaken maandag 1 februari in een brief aan de Tweede Kamer een toelichting gegeven op nieuwe privacy hulpmiddelen voor Nederlandse bedrijven.
Lees het volledige bericht

X