• 4 dec

    2018

    Melding DOEN (van een datalek)

    De KNLTB is weer in het nieuws. Dit keer vanwege zogenaamde ‘phishing mails’. Phishing mails zijn nepmails, waarmee internetcriminelen persoonlijke gegevens en vaak ook geld proberen te ontfutselen van mailgebruikers. Bij de KNLTB probeerden de criminelen, volgens een nieuwsbericht op de site van de KNLTB, eerst de inloggegevens van het ledenadministratie systeem te stelen. Daarna stuurden ze met behulp van die gegevens mails aan leden, met de vraag of ze hun lidmaatschapsgeld wilden overmaken. Omdat op deze manier persoonsgegevens terecht kwamen bij derden die geen toegang tot die gegevens hoorden te hebben, is er sprake van een datalek.

    Stappenplan

    Een datalek kan in principe iedere onderneming of vereniging overkomen. Zodra je er mee te maken krijgt, moet je actie ondernemen. Het is handig een stappenplan te hebben, dat je kunt volgen als een datalek zich daadwerkelijk voordoet. Een van de eerste stappen is uiteraard het dichten van het ‘lek’. Het lek moet zodanig beveiligd worden, dat de onbevoegde derde niet meer bij de persoonsgegevens kan. Een volgende stap is het verzamelen van informatie over (o.a.):

    • de duur van het lek;
    • de soort en hoeveelheid gegevens die zijn gelekt;
    • de aard van de inbreuk (bijvoorbeeld het inzien, kopiëren, stelen of wijzigen).

    Met behulp van deze informatie kun je verdere stappen nemen: het registreren van het datalek (let op: je bent daartoe verplicht op grond van de AVG) en het beoordelen of er een melding moet worden gedaan bij de Autoriteit Persoonsgegevens (AP) of bij betrokkenen. Een eventuele melding wordt gedaan door de verwerkingsverantwoordelijke. Hij kan daarover andere afspraken maken met een verwerker, maar blijft wel (eind)verantwoordelijk.

    Autoriteit persoonsgegevens en betrokkenen

    Een datalek moet je eigenlijk bijna altijd melden bij de AP. Dit is alleen anders als het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Aan betrokkenen moet je een datalek soms ook melden. Dit doe je als het risico op misbruik van hun persoonsgegevens groot is.

    Melding doen

    Als je concludeert dat je het datalek moet melden bij de AP, doe je dit binnen 72 uur nadat je kennis hebt genomen van het datalek. Betrokkenen informeer je onverwijld. Een melding bij de AP kun je doen via het Meldloket datalekken‘.

    Het niet melden van een datalek brengt een risico met zich mee. De AP kan een hoge boete opleggen als een datalek onterecht niet gemeld wordt. Zo was vorige week in het nieuws dat Uber een boete opgelegd kreeg van €600.000,- vanwege het verzwijgen van een datalek. Bij twijfel over het doen van een melding of als je nog niet alle informatie compleet hebt, kun je daarom het beste een voorlopige melding doen. Deze melding kan later worden aangepast of ingetrokken.

    Als je meer informatie wilt over datalekken of hulp nodig hebt bij het opstellen van een stappenplan, neem dan gerust contact op. Je kunt een mail sturen naar judith@doenlegl.nl of bellen met 06 290 30 615.

     

     

     

     

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Klanten die Doen