Procedure datalekken op orde?

Om aantoonbaar te voldoen aan de GDPR moet elke organisatie waar persoonsgegevens worden verwerkt beschikken over een gedocumenteerde procedure voor de omgang met datalekken.Vanuit de GDPR is er een meldplicht voor datalekken. Deze meldplicht houdt in dat bedrijven, overheden en andere organisaties die persoonsgegevens verwerken datalekken onverwijld moeten melden aan de Autoriteit Persoonsgegevens (AP). En in bepaalde gevallen ook aan de betrokkene(n). In de procedure wordt beschreven hoe de organisatie handelt indien er een datalek wordt vermoed.

Signaleren van datalekken

Nu is het goed dat er een procedure is beschreven als er een datalek wordt geconstateerd. Belangrijker nog is dat medewerkers of vrijwilligers van uw organisatie signaleren dat er mogelijke sprake is van een datalek. Dit vraagt interne communicatie en behandeling van voorbeelden die passen bij uw activiteiten. In het bespreken van deze datalek voorbeelden kunt u nogmaals het belang van bescherming van persoonsgegevens voor uw organisatie onder de aandacht brengen. In de GDPR is definitie van een datalek breder omschreven als Wbp en gaat het verder dan een verloren usb-stick of gestolen laptop. Bijvoorbeeld persoonsgegevens gebruiken voor activiteiten waarvoor de betrokkene deze niet heeft verstrekt. De nieuwe vorm van datalekken is afhankelijk waar in uw organisatie in actief is.

Analyseren van een mogelijk datalek

Er zijn voorbeelden die klip en klaar zijn als het gaat over een datalek. Bijvoorbeeld een mail met persoonsgegevens die aan de verkeerde ontvanger zijn toegezonden. Maar veelal vraagt het meer analyse waarvoor de persoonsgegevens zijn verzameld en in welke omstandigheden de persoonsgegevens zijn verwerkt en onjuist zijn verstrekt aan een derden buiten uw organisatie? Vervolgens beoordeelt u of de betrokkene(n) moeten worden geïnformeerd over het datalek? Als u heeft vastgesteld dat de inbreuk op de persoonsgegevens een hoog risico voor betrokkene inhoudt, dient u hem of haar te informeren over de genomen privacy maatregelen. Dit vraagt de nodige kennis en ervaring over de GDPR waarvoor het handig kan zijn een deskundige erbij te betrekken. DPO Partner kunt u direct bellen en uw vraag voorleggen. Privacy gaat immers 24/7 door. In geval van een calamiteit zoals een datalek of een default zijn wij altijd bereikbaar.

Melden bij de Autoriteit Persoonsgegevens

Als u heeft vastgesteld dat er sprake is van een datalek dient u deze binnen 72 uur te melden via de website bij de Autoriteit Persoonsgegevens. Bekijk deze site vooraf zodat u de alle benodigde informatie voor de melding ter beschikking hebt. Daarnaast registreert u het datalek in het in het datalekregister van uw organisatie. Om aantoonbaar te voldoen aan de GDPR dient u immers over een zo'n register te beschikken.

Missie

Vanuit mijn passie om de klantbelofte waar te maken, ben ik sinds 2012 als compliance officer zelfstandig actief. Op het fundament van vertrouwen ambieer ik het functioneren van organisaties te versterken. Privacy is voor iedere persoon een waardevol goed. Ik heb mij daar in gespecialiseerd om voor u een waardevolle partner te zijn.

frans  - Frans Pijnenborg CCP DPO -

Kantoortijden:
Maandag tot en met vrijdag
8.30 – 17.30 uur

Privacy gaat 24/7 door.
In geval van calamiteit zoals een datalek of een default zijn wij altijd bereikbaar. 

Privacy- en cookie statement

Copyright © www.dpopartner.nl

Website gerealiseerd door: Van Laarhoven Websites