Als organisatie ben je verplicht om alle datalekken op te nemen in een datalekregister. Deze registratieplicht staat in de Algemene verordening gegevensbescherming (AVG). De hamvraag is natuurlijk: wat zet je in een datalekregister?
Wat is een datalek?
Voordat we daaraan toekomen, is het belangrijk om te weten wanneer er sprake is van een datalek. De term ‘datalek’ komt niet letterlijk voor in de wet. In plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’. Daarvan is sprake, wanneer er persoonsgegevens bij iemand anders terecht zijn gekomen, vernietigd, gewijzigd of vrijgekomen zijn, zonder dat dit de bedoeling is. Dit wordt ook wel ‘per ongeluk of onrechtmatige’ toegang, vernietiging, wijziging of openbaarmaking van persoonsgegevens genoemd. Een persoonsgegeven kan van alles zijn: denk aan een naam, adres, e-mailadres, telefoonnummer, het Burgerservicenummer maar ook medische gegevens.
Voorbeelden van datalekken zijn:
- Een gestolen of kwijtgeraakte werklaptop
- Brand waardoor de kast met klantmappen in vlammen is opgegaan
- Een salarisstrook of pensioenoverzicht van een medewerker is naar de verkeerde medewerker verzonden
- Het versturen van een e-mailbericht waarin de e-mailadressen van alle geadresseerden op CC in plaats van BCC stonden (maar het dus eigenlijk niet de bedoeling was dat iedereen elkaars e-mailadres ziet)
- Een orderbevestiging met daarop bijvoorbeeld de naam en adresgegevens is verstuurd naar een onjuist e-mailadres
Welke informatie moet je over een datalek bewaren?
Een datalekregister is verplicht voor iedere organisatie. In een datalekregister bewaar je alle informatie over het datalek dat zich heeft voorgedaan. Je zet daarin in ieder geval de volgende informatie:
- Een omschrijving van het datalek: wat is er gebeurd?
- Wanneer het datalek heeft plaatsgevonden en wanneer is het ontdekt
- Beschrijving wat er met de persoonsgegevens is gebeurd
- Beschrijving van welke groep(en) personen er gegevens zijn gelekt. Van hoeveel betrokkenen zijn er persoonsgegevens gelekt?
- Beschrijving van het type gegevens
- De mogelijke gevolgen van het datalek
- De maatregelen die zijn genomen om de schade te beperken en om herhaling te voorkomen
In het datalekregister kun je ook bijhouden of het datalek gemeld is aan de Autoriteit Persoonsgegevens en/of betrokkenen. Wanneer je een datalek aan de Autoriteit Persoonsgegevens meldt, dan krijg je hiervan een ontvangstbevestiging. Dit document kun je ook opnemen in het datalekregister. Hetzelfde geldt voor de communicatie richting betrokkenen. Bewaar bijvoorbeeld het e-mailbericht dat je stuurt naar de betrokkenen om hen te informeren over het datalek.
Via het Privacy Verified portaal kun je een datalekregister bijhouden. Ben je geïnteresseerd, of heb je hier vragen over? Dan kun je uiteraard altijd contact met ons opnemen!