20 juli 2021

Meld datalek op tijd, voorkom boete 

Krijg je als bedrijf te maken met een beveiligingsincident? Zorg dat er voortvarend wordt gehandeld. Vaak is er nader onderzoek nodig om te kunnen vaststellen of er sprake is van een datalek. Het binnen 72 uur doen van een pro-formamelding bij een mogelijk datalek, kan je een boete besparen.

Onlangs kreeg een groot bedrijf een boete van € 475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen kunnen hieruit getrokken worden?

Wanneer melding datalek?

Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is in ieder geval nodig als er een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Tijd voor onderzoek

In veel gevallen zal er onderzoek nodig zijn of er daadwerkelijk sprake is van een datalek. Dat onderzoek kan enige tijd in beslag nemen. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of er sprake is van een inbreuk op persoonsgegevens. Als er van een inbreuk sprake is, moeten er ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.

Te laat...

Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.

De rechter oordeelde echter dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.

Pro-formamelding

De eerste les die uit deze uitspraak kan worden getrokken is dat het verstandig is om bij een mogelijk datalek binnen 72 uur in ieder geval een pro-formamelding bij de AP te doen. Daarmee kun je een boete vanwege een te late melding voorkomen.

Tip!

Vermeld in de pro-formamelding welke actie er al ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Als er van de eigen protocollen wordt afgeweken, kan dit ertoe leiden dat er niet adequaat is opgetreden en kan er een boete worden opgelegd.

Speciaal voor jou

UITGELICHT

Scholing en Personeel 2025
Heb je personeel in dienst dat een opleiding volgt? Dan kun je misschien gebruikmaken van de subsidieregeling Praktijkleren. Ook is er, onder bepaalde voorwaarden, een financiële bijdrage mogelijk vanuit het Opleidings- en Ontwikkelingsfonds van jouw branche. Daarnaast zijn er verschillende andere subsidies, zoals de SLIM-subsidie en regionale regelingen. In dit artikel worden deze mogelijkheden toegelicht.
Lees verder
arrow right
Assistent accountant
Wil jij niet alleen met cijfers werken, maar ook echt iets betekenen voor klanten? Zoek je een baan waarin je kunt groeien en blijven leren? Bij Omnyacc zoeken we een enthousiaste assistent accountant die klaar is voor een nieuwe stap. Je werkt met fijne collega’s, krijgt veel kansen om jezelf te ontwikkelen en wordt goed begeleid in je carrière.
Lees verder
arrow right
Accountant Texel
Ben je als ondernemer net gestart met je bedrijf, zit je middenin allerlei ondernemerskwesties of ga je binnenkort afstand doen van jouw onderneming? Dan is het raadzaam om advies te vragen aan een accountant. Omnyacc Texel ondersteunt en adviseert in alle fases van het ondernemerschap. Een accountantskantoor zijn we nog steeds, maar met een uitgebreid dienstenpakket. Denk aan fiscaal en juridisch advies, controle, financiële administratie of salarisadministratie. Ons team werkt nauw samen om jou en je onderneming naar een hoger niveau te tillen. Loop ook eens bij ons binnen.
Lees verder
arrow right
Unit4
Met Unit4 Multivers online heb je jouw financiën altijd onder controle.
Lees verder
arrow right
Btw-vraagstukken
Zit jij met een ingewikkelde btw-kwestie? Onze specialisten behandelen dagelijks btw-vraagstukken en kennen alle ins en outs van de complexe wetgeving. 
Lees verder
arrow right
Jolanda Dedert

Jolanda Dedert

Casemanager verzuim en inkomen