Meldplicht datalekken onder de AVG: verplicht incidentenregister

Meldplicht datalekken

Op grond van de Wbp moet een datalek worden gemeld bij de AP als een inbreuk (een aanzienlijke kans op) ernstige gevolgen heeft voor de bescherming van persoonsgegevens. Onder de AVG moet in beginsel ieder datalek worden gemeld, ‘tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. Indien zich een datalek voordoet, zal een organisatie dus, zowel nu onder de Wbp als straks onder de AVG, moeten vaststellen of er een risico is voor de betrokkenen. Is dat het geval, dan heeft een organisatie uiterlijk 72 uur om het datalek te melden bij de AP. Mocht dat niet lukken, dan moet er een goede verklaring zijn voor de vertraging. In bepaalde gevallen dienen ook de betrokkenen op de hoogte te worden gebracht. Tot zover zal er in de praktijk weinig veranderen.

Documentatieplicht

Een belangrijk verschil met de Wbp zit in artikel 33, lid 5, van de AVG. In dit artikel is bepaald dat de verwerkingsverantwoordelijke (degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt) alle inbreuken in verband met persoonsgegevens documenteert. In een zogenaamd incidentenregister dient elke inbreuk te worden geregistreerd, ongeacht of de inbreuk gemeld moet worden aan de AP en/of de betrokkenen. In het register moeten in elk geval alle feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen worden vastgelegd.

Aanbevelingen voor het incidentenregister

Voor de concrete invulling van het verplichte incidentenregister zijn nog geen richtsnoeren gepubliceerd. Wel heeft de Artikel 29-werkgroep, het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders, zogenaamde guidelines opgesteld. In deze guidelines wordt aangeraden om in het incidentenregister minimaal de volgende elementen op te nemen: − een beschrijving van het incident; − de oorzaak; − de betrokken persoonsgegevens; − de consequenties; − de genomen corrigerende maatregelen. Daarnaast raadt de werkgroep aan om in het register ook de overweging vast te leggen die gemaakt is bij de beslissing om een inbreuk wel of niet te melden. Met name als een datalek niet wordt gemeld, is het (voor de toezichthouder) relevant om te kunnen nagaan wat de argumenten zijn geweest voor het oordeel dat het datalek geen risico inhield voor de rechten en vrijheden van de betrokkenen.

Inzicht in incidenten

Het incidentenregister is een belangrijk hulpmiddel voor de functionaris voor de gegevensbescherming (FG). Het register kan bijvoorbeeld worden gebruikt om de compliance-cyclus vorm te geven en fouten in de toekomst te voorkomen door maatregelen te nemen die uit evaluatie van de incidenten nodig blijken. Daarnaast kan het helpen de bewustwording omtrent privacy in zijn algemeenheid en datalekken in het bijzonder te verhogen door incidenten binnen de organisatie te belichten. Met het oog op het verantwoordingsbeginsel en de verplichting om compliant en’ in control te zijn’ kan het incidentenregister bij een bezoek van de AP bovendien helpen om snel inzicht te verschaffen in incidenten en de genomen maatregelen.

Datalekregister Sweaper

Charco & Dique heeft de tool Sweaper ontwikkeld als uw eerste hulp bij datalekken. Met Sweaper heeft u alle incidenten en datalekken in een overzichtelijk register. Sweaper biedt u een transparante en reproduceerbare afweging voor het wel of niet melden van datalekken.

Meer weten?

Meer weten over de AVG? Volg dan onze AVG Awareness training. Na afronding van de e-learning bent u bekend met de privacyregels en weet u in de praktijk om te gaan met persoonsgegevens, datalekken en de rechten van betrokkenen.

Heeft u hulp nodig met het bijhouden van het verwerkingsregister? Download dan gratis onze AVG checklist of het template verwerkingsregister of AVG checklist. Onze specialisten adviseren u graag over de naleving van de AVG. Neem geheel vrijblijvend contact met ons op via onderstaande button.