ris-rijkschroeff-juristen
contact

Wanneer moet een datalek worden geregistreerd?

Sinds januari 2016 is het verplicht om een relatief groot datalek te melden bij de Autoriteit Persoonsgegevens. Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming in werking. Daarmee moet ook intern gedocumenteerd worden welke datalekken er zijn geweest, groot en klein. In dit artikel wordt er ingegaan op de vragen wanneer een datalek moet worden geregistreerd en welke informatie er moet worden geregistreerd.

Wanneer moet een datalek worden geregistreerd?

De Algemene Verordening Gegevensbescherming stelt strenge eisen aan de registratie van datalekken. Met de registraties kan de Autoriteit Persoonsgegevens controleren of er aan de meldplicht is voldaan. Alle datalekken moeten worden geregistreerd, maar alleen de grote datalekken moeten worden gemeld.

Een datalek is iedere inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, of ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Het gaat er dus niet alleen om dat een bedrijf is gehackt of dat er persoonsgegevens zijn gestolen, maar ook bijvoorbeeld om persoonsgegevens die per ongeluk naar de verkeerde personen zijn gemaild, een usb-stick die is kwijtgeraakt en een collega die een open scherm op een computer heeft gezien die niet voor hem bedoeld was. 

Welke informatie er moet worden geregistreerd

Het doel van het registreren van datalekken is dat ervan geleerd kan worden hoe in de toekomst een lek zoveel mogelijk kan worden voorkomen. Om aan te kunnen tonen dat de datalekken worden gemonitord en dat er opvolging is geweest na het lek, moeten de volgende gegevens worden geregistreerd:

  • het lek moet worden omschreven;
  • de datum van het lek;
  • wat er met de persoonsgegevens is gebeurd;
  • van welke groep personen er gegeven zijn gelekt, en om hoeveel personen het gaat;
  • om welke soort gegevens het gaat
  • de gevolgen van de inbreuk;
  • de maatregelen die zijn genomen om schade te voorkomen of zoveel mogelijk te beperken en de maatregelen om te zorgen dat het niet nog een keer kan gebeuren.

Conclusie

Een datalek moet altijd worden geregistreerd. Ook de datalekken die niet bij de Autoriteit Persoonsgegevens moeten worden gemeld. Het doel daarvan is dat er geleerd moet worden hoe er in de toekomst datalekken voorkomen kunnen worden en dat de toezichthouder kan controleren of de juiste datalekken wel zijn gemeld.

Mocht u nadere informatie willen over dit onderwerp of een afspraak willen maken dan kunt u contact opnemen via het telefoonnummer 020 - 491 78 01 of u kunt een email sturen naar info@ris-rijkschroeff.nl