Wat houdt de meldplicht van de AVG in?

door | mei 31, 2021

Wat houdt de meldplicht van de AVG in?

 

De AVG verplicht organisaties in veel situaties om een melding te maken, wanneer er sprake is van een datalek. Wat een datalek is, wanneer je aan de meldplicht moet voldoen en wat deze plicht inhoudt, wordt in dit artikel beschreven.

Datalek

Voordat je kan voldoen aan de meldplicht die de AVG voorschrijft, dien je eerst te weten wat een datalek is. Een datalek wordt in de AVG omschreven als een inbreuk in verband met persoonsgegevens.
Daarvan is sprake wanneer een inbreuk op de beveiliging per ongeluk of op onrechtmatig wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Het woord ‘datalek’ komt overigens niet voor in de AVG. De term datalek kan namelijk verwarrend zijn, als je leest welke soorten inbreuken er zijn.

Categorieën inbreuken

De inbreuken in verband met persoonsgegevens kunnen worden gecategoriseerd in drie categorieën:

  • Schending van de vertrouwelijkheid.  Wanneer er sprake is van ongeoorloofde of onbedoelde openbaarmaking van, of toegang tot persoonlijke gegevens.

  • Integriteitsschending.  Wanneer er sprake is van een ongeoorloofde of onopzettelijke wijziging van persoonlijke gegevens.
  • Schending van de beschikbaarheid. Wanneer de toegang tot of vernietiging van persoonsgegevens. 

Afhankelijk van de omstandigheden kan een inbreuk in één of meer van die categorieën vallen.
In de volksmond wordt een datalek meestal gezien als een ‘schending van de vertrouwelijkheid’. Zolang je bij het woord datalek maar blijft denken aan alle drie de genoemde soorten inbreuken, dan is het niet erg om het over datalekken te hebben.

Meldplicht

Zodra de verwerkingsverantwoordelijke bewust is van een datalek, dient hij na te gaan of in het specifieke geval de meldplicht geldt. Hierbij moet je letten op drie punten:

  1. De documentatie van het datalek intern.
  2. het melden van het datalek aan de bevoegde nationale toezichthoudende autoriteit.
  3. het melden van het datalek aan de betrokken personen.

Download gratis onze checklist AVG opzetten

Een checklist op te helpen de AVGAVG opzettem

Inhoud melding

De melding van het datalek moet in ieder geval de volgende elementen bevatten:

  • Een beschrijving van de feiten die leidde tot het datalek.
  •  Een beschrijving van de waarschijnlijke gevolgen van het datalek.
  •  Een beschrijving van de genomen corrigerende maatregelen.

 Interne documentatie

Het is, ongeacht de risico’s, verplicht en ook zeer raadzaam om alle inbreuken in verband met persoonsgegevens intern te documenteren. Wanneer later wordt gevraagd waarom het datalek niet werd gemeld, is het belangrijk om te kunnen aantonen dat er na een uitvoerige analyse van het datalek een welbewuste keuze is gemaakt over het al dan niet melden ervan. Ook draagt de interne documentatie bij aan de bewustwording, hetgeen van belang is ter preventie van mogelijke toekomstige datalekken. 

Meldplicht aan de Autoriteit Persoonsgegevens

In Nederland is de bevoegde nationale toezichthoudende autoriteit de Autoriteit Persoonsgegevens (AP). Het datalek moet aan de AP worden gemeld, tenzij het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen.

 

Meldplicht aan de betrokken personen

Het datalek moet aan de betrokken personen worden vermeld, wanneer het datalek een hoog risico voor de rechten en vrijheden van betrokken personen inhoudt. Of er sprake is van een hoog risico, hangt af van de mogelijke gevolgen van het datalek.

 

Bepalen risico

Aan de hand van het vastgestelde risico, bepaalt de verwerkingsverantwoordelijke aan wie hij melding doet. Ook bepaalt de verwerkingsverantwoordelijke na de risicobeoordeling welke maatregelen er dienen worden genomen om een volgend datalek te voorkomen.

De verwerkingsverantwoordelijke analyseert op het moment dat er sprake is van een datalek in hoeverre het datalek een risico oplevert voor de rechten en vrijheden van de betrokken personen.

De impact van een datalek verschilt per geval. Het datalek kan grote gevolgen hebben voor de betrokken personen. Daarbij moet worden gedacht aan fysieke, materiële of immateriële schade.

Ter illustratie kan het verlies van de controle over persoonsgegevens een beperking van de rechten, discriminatie, identiteitsdiefstal, fraude, financieel verlies, reputatieschade, economisch of een sociaal nadeel opleveren.

In onze specials over datalekken hebben we ook geschreven over:

👉 Datalek en vereerd bezorgde post.

👉 Gestolen apparatuur en datalekken

👉 Identiteitsfraude

👉 Datalek door onoplettendheid

👉 Datalekken en patiëntgegevens

Onze training Basis kennis AVG geeft je direct de inzichten om het professioneel aan te pakken.

Lees ook:

Share This