top of page
wit vlak
wit vlak
logo

DATALEK IN DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

De Algemene verordening gegevensbescherming (AVG), ook wel de GDPR genoemd, verplicht organisaties die onder het toepassingsgebied van de verordening vallen maatregelen te nemen bij eventuele datalekken.

Er moet niet alleen een register bijgehouden worden waarin alle datalekken worden geregistreerd, bedrijven moeten ook een eventueel datalek melden aan de bevoegde toezichthoudende autoriteit persoonsgegevens. In België is dit de Gegevensbeschermingsautoriteit (GBA).

De GDPR is een relatief nieuwe privacywetgeving en is sinds 2018 van kracht in alle Europese lidstaten. Zij is van toepassing op alle ondernemingen, verenigingen en overheidsdiensten die persoonsgegevens verzamelen en verwerken.

rood vlak
icoon xwing

MELDEN DATALEK: ONDERNEEM TIJDIG ACTIE

Een datalek kan grote gevolgen hebben voor uw organisatie, zowel financieel als juridisch. Volgens de GDPR bent u verplicht om ernstige datalekken binnen 72 uur te melden bij de toezichthouder, zoals de Autoriteit Persoonsgegevens. Het niet naleven van deze verplichting kan leiden tot hoge boetes en reputatieschade.

 

Bij Mr. Franklin begrijpen we de urgentie en complexiteit van het omgaan met datalekken. Wij bieden juridische begeleiding en praktische ondersteuning om u te helpen snel en correct te handelen. Van het beoordelen van de ernst van het datalek tot het opstellen van meldingen en het implementeren van preventieve maatregelen: wij staan voor u klaar.

BIJHOUDEN VAN INTERN REGISTER

Een onderneming dient elke inbreuk met betrekking tot persoonsgegevens te registreren in een intern register, soms ook wel ‘datalelekregister’ genoemd, dat bijgehouden wordt door de onderneming zelf.

In dit register moeten vervolgens allerlei gegevens worden gedocumenteerd, zoals het tijdstip van het vaststellen van het incident, een omschrijving van de betrokken persoon of personen, de waarschijnlijke gevolgen van de inbreuk en een omschrijving van de genomen maatregelen.

WAT IS EEN DATALEK?

Inbreuk in verband met persoonsgegevens
 
In de GDPR zelf wordt er niet gesproken van een ‘datalek’, wel van ‘een ‘inbreuk in verband met persoonsgegevens’.

Zo’n inbreuk wordt gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens” (artikel 4 GDPR).

Een hele boterham dus, maar wat houdt dit nu precies in?

Voorbeelden datalekken
 
Er zijn tal van voorbeelden te bedenken waarbij er sprake is van een datalek. Veel mensen denken bijvoorbeeld in de eerste plaats aan een hacker die de onderneming is binnengedrongen, maar een datalek kan ook subtieler zijn.

Zo is er bijvoorbeeld sprake van een datalek bij het verlies van een usb-stick met daarop niet-versleutelde persoonsgegevens, een systeemcrash door een menselijke fout waarbij er geen back-up werd gemaakt van de persoonsgegevens of het weergeven van persoonsgegevens op een onbeveiligde webpagina.

Ook een cyberaanval waarbij persoonsgegevens zijn buitgemaakt of een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt vallen onder het begrip datalek. Denk daarnaast bijvoorbeeld ook aan hacking, diefstal of het onopzettelijke verlies of vernietiging van persoonsgegevens.

Om van een datalek te spreken moet er dus niet per se kwaad opzet in het spel zijn. Integendeel, veel datalekken zijn een gevolg van menselijke fouten of onvoorzichtigheden.

EEN DATALEK MELDEN

Wanneer er zich een inbreuk in verband met persoonsgegevens (datalek) heeft voorgedaan, dient een onderneming actie te ondernemen en dit te melden. Dit is echter niet altijd verplicht.

Aan wie moet het datalek gemeld worden?

 

Een datalek dient zowel aan de bevoegde toezichthoudende autoriteit, dit is de Gegevensbeschermingsautoriteit (GBA), als aan de betrokken personen bij het datalek gemeld worden.

De Gegevensbeschermingsautoriteit moet door de gegevensverantwoordelijke binnen de onderneming op de hoogte gesteld worden van het datalek, en dit binnen de 72 uur. Hierop geldt een uitzondering, namelijk wanneer het niet waarschijnlijk is dat de inbreuk op de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokken individuen.

De melding van gegevenslekken bij de GBA gebeurt via een elektronisch formulier, dat beschikbaar is op de site van de GBA, via deze link. Dit formulier moet in één van de drie landstalen worden ingevuld en dient vervolgens via een webportaal te worden bezorgd.

Enkel indien de inbreuk een hoog risico uitmaakt voor de rechten en vrijheden van de betrokkene moet deze persoon persoonlijk van het datalek op de hoogte worden gebracht.

Risico-analyse

 

De GDPR veronderstelt dus dat bij elk incident een zekere afweging en risico-analyse wordt gemaakt om te bepalen of er een hoog risico is. Hier kunnen heel wat vragen rijzen: wat is immers een (voldoende) hoog risico?

Bevoegde autoriteit persoonsgegevens Nederland

 

In Nederland is de bevoegde toezichthoudende autoriteit de Autoriteit Persoonsgegevens (AP). Ondernemingen in Nederland die geconfronteerd worden met een datalek moeten dit binnen de 72 uur aan deze autoriteit melden.

Schakel Mr. Franklin in bij een datalek: deskundige hulp en begeleiding

 

Wanneer uw organisatie te maken krijgt met een datalek, biedt Mr. Franklin professionele ondersteuning om de situatie snel en effectief aan te pakken. Wij voeren een uitgebreide risicoanalyse uit om de ernst van het datalek te bepalen en adviseren of een melding bij de Gegevensbeschermingsautoriteit (GBA) noodzakelijk is. Indien een melding vereist is, zorgen wij voor een correcte en tijdige indiening. Daarnaast ondersteunen wij bij de communicatie naar betrokkenen, zoals klanten of medewerkers, om transparantie te waarborgen en reputatieschade te beperken.

 

Wij helpen u ook de oorzaken van het datalek te identificeren en stellen concrete maatregelen voor om herhaling in de toekomst te voorkomen. Zo maakt u uw organisatie veiliger en beter bestand tegen nieuwe incidenten.

 

Brede ondersteuning in GDPR-compliance

 

Naast hulp bij datalekken biedt Mr. Franklin een uitgebreid pakket aan diensten om uw organisatie GDPR-compliant te maken:

• GDPR-audits: Wij analyseren uw huidige processen en systemen en bieden advies voor verbetering.

• Opstellen van GDPR-documentatie: Van beleid tot procedures, wij zorgen dat alles volgens de wet is geregeld.

Aanstellen als Data Protection Officer (DPO): Onze gecertificeerde DPO’s begeleiden uw organisatie bij de implementatie van de GDPR en fungeren als contactpersoon met de toezichthouder.

 

De rol van een DPO binnen uw organisatie

 

Een Data Protection Officer (DPO) speelt een cruciale rol in de naleving van de GDPR. Onze DPO’s monitoren onder meer het datalekregister, beoordelen risico’s en nemen verantwoordelijkheid voor het tijdig informeren van de GBA bij een datalek. Als onafhankelijke expert waarborgen zij dat uw organisatie voldoet aan alle privacywetgeving.

 

Mr. Franklin beschikt over vijf gecertificeerde DPO’s die klaarstaan om uw organisatie te begeleiden. Wilt u meer weten over wat een DPO voor uw onderneming kan betekenen? Wij leggen het u graag uit.

 

Waarom kiezen voor Mr. Franklin?

 

Met jarenlange ervaring en diepgaande expertise biedt Mr. Franklin oplossingen voor al uw vragen over datalekken en GDPR-compliance. Of u nu hulp nodig heeft bij een specifiek incident of op zoek bent naar structurele begeleiding, wij staan voor u klaar.

 

Neem vandaag nog contact met ons op en ontdek hoe wij uw organisatie kunnen ondersteunen. Samen zorgen we ervoor dat uw bedrijf voldoet aan alle privacy-eisen en risico’s minimaliseert.

HOE KAN MR. FRANKLIN JE HELPEN BIJ EEN GEGEVENSLEK?

Met de invoering van de General Data Protection Regulation (GDPR) heeft de Europese Commissie als doel de privacy van Europese burgers te versterken en hun rechten en vrijheden te beschermen. Binnen de GDPR worden deze personen aangeduid als ‘betrokkenen’. Een datalek kan ernstige gevolgen hebben voor deze betrokkenen, zoals verlies van gegevens of schending van hun privacy.

 

De verplichting om datalekken te melden, heeft als doel organisaties bewuster te maken van het belang van gegevensbescherming. Het stimuleert bedrijven om persoonsgegevens op een veiligere en verantwoordelijkere manier te verwerken. Dit draagt niet alleen bij aan betere compliance, maar versterkt ook het vertrouwen van klanten en medewerkers in uw organisatie.

 

Wat zijn de mogelijke sancties?

 

Ja, de GDPR voorziet in sancties bij niet-naleving, waaronder zware boetes die kunnen oplopen tot miljoenen euro’s. Meer over de hoogte en aard van deze boetes leest u hier.

 

Het is bovendien opvallend dat het melden van een datalek zelf aanleiding kan zijn tot een verdergaand onderzoek door de Gegevensbeschermingsautoriteit (GBA). Dit onderzoek kan zich uitbreiden naar andere aspecten van uw gegevensverwerking die geen directe link hebben met het datalek. Zo heeft de GBA recent een onderneming een boete van 50.000 euro opgelegd naar aanleiding van een dergelijk onderzoek.

 

Hoe voorkomt u een boete?

 

Een boete is niet alleen financieel belastend, maar kan ook uw reputatie schaden. Om dit te voorkomen, is het cruciaal om datalekken correct te melden en uw gegevensbeschermingsbeleid op orde te hebben. De experts van Mr. Franklin staan klaar om u te ondersteunen met:

• Advies op maat over het melden van datalekken.

• Begeleiding bij audits en onderzoeken door de GBA.

• Implementatie van privacybeleid dat voldoet aan de GDPR.

 

Neem contact op met Mr. Franklin voor deskundig advies en zorg ervoor dat uw organisatie risico’s minimaliseert en compliant blijft.

DE IMPACT VAN DE GDPR EN MELDEN VAN DATALEKKEN

VOLGENDE ORGANISATIES
VERTROUWEN OP MR. FRANKLIN

bottom of page