Meld datalek op tijd, voorkom boete

Krijg je als bedrijf te maken met een beveiligingsincident? Zorg dat er voortvarend wordt gehandeld. Vaak is er nader onderzoek nodig om te kunnen vaststellen of er sprake is van een datalek. Het binnen 72 uur doen van een pro-formamelding bij een mogelijk datalek, kan je een boete besparen.

Onlangs kreeg een groot bedrijf een boete van € 475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen kunnen hieruit getrokken worden?

Wanneer melding datalek?

Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek genoemd, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is in ieder geval nodig als er een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Tijd voor onderzoek

In veel gevallen zal er onderzoek nodig zijn of er daadwerkelijk sprake is van een datalek. Dat onderzoek kan enige tijd in beslag nemen. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of er sprake is van een inbreuk op persoonsgegevens. Als er van een inbreuk sprake is, moeten er ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.

Te laat...

Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.

De rechter oordeelde echter dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.

Pro-formamelding

De eerste les die uit deze uitspraak kan worden getrokken is dat het verstandig is om bij een mogelijk datalek binnen 72 uur in ieder geval een pro-formamelding bij de AP te doen. Daarmee kun je een boete vanwege een te late melding voorkomen.

Tip!

Vermeld in de pro-formamelding welke actie er al ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Als er van de eigen protocollen wordt afgeweken, kan dit ertoe leiden dat er niet adequaat is opgetreden en kan er een boete worden opgelegd.

Speciaal voor jou

UITGELICHT

Bedrijfsfinanciering

De financieringsspecialisten van Omnyacc helpen je om de financieringsaanvraag precies volgens de eisen van de bank aan te leveren. Zo maak je niet alleen de grootste kans om snel krediet te krijgen, maar dit levert je ook een lagere rente op.

Lees verder

Duo-interview Sustenso vs. DeVi-Stairlifts

In het duo-interview tussen Dennis Vroegindeweij van DeViStairlifts en Hans van der Weide van Sustenso hebben we het gehad over grip. En dat niet alleen. In dit duo-interview praten ze verder over het ontstaan van hun bedrijven en de verdere ontwikkeling. Al zijn de bedrijven compleet verschillend, toch zie je gelijk de herkenning als twee ondernemers aan het woord zijn.

Lees verder