Meld datalek op tijd, voorkom boete

Krijg je als bedrijf te maken met een beveiligingsincident? Zorg dat er voortvarend wordt gehandeld. Vaak is er nader onderzoek nodig om te kunnen vaststellen of er sprake is van een datalek. Het binnen 72 uur doen van een pro-formamelding bij een mogelijk datalek, kan je een boete besparen.

Onlangs kreeg een groot bedrijf een boete van € 475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen kunnen hieruit getrokken worden?

Wanneer melding datalek?

Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is in ieder geval nodig als er een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Tijd voor onderzoek

In veel gevallen zal er onderzoek nodig zijn of er daadwerkelijk sprake is van een datalek. Dat onderzoek kan enige tijd in beslag nemen. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of er sprake is van een inbreuk op persoonsgegevens. Als er van een inbreuk sprake is, moeten er ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.

Te laat...

Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.

De rechter oordeelde echter dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.

Pro-formamelding

De eerste les die uit deze uitspraak kan worden getrokken is dat het verstandig is om bij een mogelijk datalek binnen 72 uur in ieder geval een pro-formamelding bij de AP te doen. Daarmee kun je een boete vanwege een te late melding voorkomen.

Vermeld in de pro-formamelding welke actie er al ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Als er van de eigen protocollen wordt afgeweken, kan dit ertoe leiden dat er niet adequaat is opgetreden en kan er een boete worden opgelegd.

Zwaagdijk

Bollenmarkt 8a
1681 PJ Zwaagdijk
0228-561010
info@omnyacc-goesdeen.nl

Info & contact

Update lonenspecial

In de update van de lonenspecial 2020 tref je de belangrijkste wijzigingen aan op het gebied van personeel- en salarisadministratie. De lonenspecial is een handig naslagwerk voor jou als werkgever. Zo blijf je op de hoogte van de laatste actualiteiten. Vragen? Neem gerust contact met ons op.

Lees verder

Nmbrs

Nmbrs is een softwarepakket dat digitaal ondersteuning biedt op het gebied van HRM en salarisadministratie.

Lees verder

Eindejaarstips 2021

Om 2021 goed af te sluiten hebben wij de eindejaarstips op een rij gezet. Wat kun je als ondernemer fiscaal dit jaar nog regelen? Zijn er voor de dga belangrijke aandachtspunten waarop je moet anticiperen? Op welke zaken moet je je als werkgever voorbereiden op het nieuwe jaar? Dit en meer vind je in de eindejaarstips via de onderstaande blokken. Zo ben jij goed voorbereid. Vragen? Neem gerust contact met ons op.

Lees verder