De Autoriteit Persoonsgegevens heeft het meldformulier voor datalekken gewijzigd. Voornamelijk met als doel om datalekken melden eenvoudiger te maken. De wijzigingen zijn welkom, maar het blijft natuurlijk belangrijk om je technisch en juridisch bij te laten staan. Het melden van datalekken blijft namelijk heel ingewikkeld en het is belangrijk dat een melding correct wordt uitgevoerd.
Meldplicht bij datalekken
Organisaties die met een ernstig datalek te maken krijgen, zijn verplicht om direct een melding te doen bij de Autoriteit Persoonsgegevens. Het gaat daarbij niet alleen om het vrijkomen van persoonsgegevens zonder dat dit de bedoeling was, maar ook om de wijziging, de toegang of de vernietiging van deze persoonsgegevens. Dit is overigens niet de enige verplichting, want naast de meldplicht is er bijvoorbeeld de verplichting om de schade te beperken en is het soms verplicht om het datalek ook bij de betrokken personen te melden. Tevens moet het datalek in het verplichte datalekregister worden opgenomen, ook wanneer het niet aan de Autoriteit Persoonsgegevens hoeft te worden gemeld.
Het is belangrijk dat dit alles correct verloopt, want anders kunnen er flinke boetes volgen. Zo kreeg Booking.com al een boete van 475.000 euro omdat het een datalek laattijdig had gemeld.
Inhoudelijke wijzigingen bij melding datalekken
Men stelt niet meer alleen de vraag wanneer de inbreuk is ontdekt, maar ook hoe de inbreuk is ontdekt. Daarnaast wordt er nog steeds gevraagd wat de aard is van het incident dat aan het datalek voorafging, maar zijn er nu meer keuzeopties. Voorts is de melder nu verplicht om zijn risico-inschatting toe te lichten. Het volstaat dus niet langer om enkel een risico-inschatting te maken. Daarnaast kan je nu het FG-registratienummer ingeven en de encryptie-hashing beschrijven wanneer gegevens onbegrijpelijk of ontoegankelijk zijn gemaakt.
Gesleuteld aan de gebruiksvriendelijkheid
Ten slotte heeft men duidelijk de gebruiksvriendelijkheid willen verbeteren. De vervolgvragen worden bijvoorbeeld gesteld op basis van de eerdere antwoorden. Zo hoeft men geen irrelevante vragen te beantwoorden. Verder is het (eindelijk) mogelijk om het meldformulier tussentijds op te slaan en later verder te gaan. Dit vervangt overigens niet de pro-formamelding. Een opgeslagen sessie wordt namelijk niet naar de Autoriteit Persoonsgegevens verzonden, maar is lokaal te bewaren. Ook is het gemakkelijker geworden om bulkmeldingen te doen, bijvoorbeeld wanneer een datalek zich in korte tijd vaak herhaalt.
Het moet gezegd, de huidige aanpassingen zijn alvast een stap in de goede richting. Al zijn er uiteindelijk nog een klein aantal minpuntjes die niet zijn aangepakt. Zoals het feit dat het niet wordt aangegeven welke informatie je verplicht moet doorgeven om verder te kunnen en dat je nog steeds weinig tekens in de toelichtingstekstvakken kan ingeven.
Juridisch advies bij datalekken
De Autoriteit Persoonsgegevens heeft het melden van datalekken duidelijk eenvoudiger willen maken, maar het blijft natuurlijk allemaal best ingewikkeld. Je moet je de vraag stellen of je wel moet melden, maar je moet bijvoorbeeld ook nagaan of het verplicht is om de betrokkenen op de hoogte te brengen. Een jurist kan voor jou de nodige afwegingen maken. Spreek er daarom over met een van onze privacy-experts en laat je adviseren. Neem nu contact met ons op.
