Zoeken op

Zoeken op

Alles

27 juli, 2021

Voorkom een boete door te laat melden datalek

Handel voortvarend bij een beveiligingsincident. Vaak is nader onderzoek nodig om vast te stellen of sprake is van een datalek. Bespaar een boete door binnen 72 uur een pro-formamelding te doen bij een mogelijk datalek.

Meer artikelen
Datalek

Onlangs kreeg een groot bedrijf een boete van €475.000 opgelegd door de Autoriteit Persoonsgegevens (AP) vanwege het te laat melden van een grootschalig datalek. Welke lessen trekt men hieruit?

Wanneer melding datalek?

Op grond van artikel 33 van de AVG moet een inbreuk op de persoonsgegevens, ook wel datalek, zonder onredelijke vertraging en indien mogelijk binnen 72 uur nadat de verwerkingsverantwoordelijke hiervan kennis heeft genomen, worden gemeld bij de AP. Dat is nodig als een redelijke mate van zekerheid bestaat dat zich een veiligheidsincident heeft voorgedaan dat tot de compromittering van persoonsgegevens heeft geleid. Het maken van een melding is niet nodig als het niet waarschijnlijk is dat die inbreuk een risico is voor de rechten en vrijheden van natuurlijke personen.

Tijd voor onderzoek

In veel gevallen is onderzoek nodig of daadwerkelijk sprake is van een datalek. Dat onderzoek neemt enige tijd in beslag. Toch is het noodzakelijk om ieder incident onmiddellijk te onderzoeken om te bepalen of sprake is van een inbreuk op persoonsgegevens. Als van een inbreuk sprake is, moeten ook direct maatregelen worden genomen om dit te corrigeren en moet het datalek worden gemeld. Op basis van de AVG zou een termijn van 72 uur hiervoor in principe voldoende moeten zijn.

Te laat…

Het grote bedrijf dat eerder een boete kreeg, vond dat de overschrijding van deze 72 uurs-termijn gerechtvaardigd was, omdat het bedrijf eerst onderzoek moest doen voordat het het incident kon melden. Daarnaast vond de onderneming dat zij vanuit efficiency-oogpunt incidenten had mogen bundelen, ook al werd hierdoor de 72 uurs-termijn overschreden.

Maar de rechter oordeelde dat het bedrijf de nodige steken had laten vallen en, ook na de eerste melding, onvoldoende voortvarend had gehandeld. Daarbij was van belang dat de onderneming niet had gehandeld conform haar eigen protocollen, waarin was opgenomen dat ieder vermoeden van een incident direct moest worden doorgezet naar het Security Team.

Pro-formamelding

De eerste les van deze uitspraak is dat het verstandig is om bij een mogelijk datalek binnen 72 uur een pro-formamelding bij de AP te doen. Daarmee voorkom je een boete vanwege een te late melding.

Tip! Vermeld in de pro-formamelding welke actie ondernomen is en dat het onderzoek nog loopt. Daarnaast is het van belang dat de eigen protocollen strikt worden nageleefd, zoals het opvolgen van de daarin genoemde escalatielijn. Bij afwijking van de eigen protocollen leidt dit ertoe dat niet adequaat is opgetreden en kan een boete worden opgelegd.

Heb je vragen of wil je persoonlijk advies? Neem gerust contact met ons op. Wij staan voor je klaar!