Melden van een datalek
Sinds januari 2016 is de meldplicht datalekken van kracht. Met ingang van 25 mei 2018 is de meldplicht datalekken vervallen en is de meldplicht opgenomen in de AVG. Als je een datalek hebt geconstateerd moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Dat kan je doen bij het meldloket datalekken.
Daarnaast kan het zijn dat je ook de betrokkenen, de personen wiens gegevens zijn gelekt, moet informeren. In beginsel is het belangrijk om altijd melding te maken van een datalek aan de AP, ook als je niet zeker weet of het om een datalek gaat. Er bestaan uitzonderingen, maar het kan vrijwel nooit kwaad om melding te maken. Als uit nader onderzoek blijkt dat er toch geen datalek heeft plaatsgevonden kan dat simpelweg toegevoegd worden aan de melding.
Hoe meld ik een datalek?
Om een melding bij het AP correct in te kunnen vullen moet je 3 dingen weten:
- Met wat voor soort datalek heb ik te maken?
- Is er sprake van een inbreuk op de vertrouwelijkheid en zijn er persoonsgegevens ongewild openbaar gemaakt?
- Is het een inbreuk op de integriteit en zijn de gegevens gewijzigd?
- Of is het een inbreuk op de beschikbaarheid en zijn de gegevens niet meer toegankelijk?
- Welke gegevens zijn potentieel gelekt?
Als je weet welke gegevens gelekt zijn kan je inschatten of het datalek een risico oplevert voor de rechten en vrijheden van de betrokkenen. Als er geen risico bestaat dan hoef je het datalek niet te melden aan de betrokkenen. Onderschat deze risico’s niet. Ook onschuldige persoonsgegevens kunnen in de verkeerde handen enorm waardevol zijn. - In wat voor staat verkeren de gegevens zich?
Zijn de persoonsgegevens versleuteld en is de sleutel nog steeds veilig? Dan hoef je het niet te melden, tenzij dit betekent dat je zelf ook toegang bent kwijtgeraakt tot de gegevens. In dat laatste geval heb je te maken met een inbreuk op de beschikbaarheid. Een ander voorbeeld is het lekken van wachtwoorden. Zijn bijvoorbeeld enkel de salted hashes van wachtwoorden gelekt? Dat hoef je niet te melden. Een kanttekening hierbij is wel dat het zelden zal voorkomen dat enkel dit soort gehashte gegevens gelekt zijn.
Afhankelijk van je antwoorden op de bovenstaande vragen besluit je om wel of niet melding te maken. De algemene regel is dat je een datalek moet melden als er een risico bestaat voor de rechten en vrijheden van de betrokkenen. In de praktijk kan het echter vrijwel nooit kwaad om melding te maken, het niet melden is mogelijk een risico.
Ben je nog onzeker over of je een datalek wel of niet moet melden? De Autoriteit Persoonsgegevens heeft een gedetailleerde uitleg, met meer voorbeelden. Lees ook de richtlijnen die over de meldingsplicht zijn gepubliceerd.
Datalek melden
Datalekken moeten gemeld worden bij het Meldloket datalekken van de Autoriteit Persoonsgegevens. Doe dat binnen 72 uur na het constateren van het datalek.
Let op
- Meld je datalek ook bij de betrokken klanten en/of websitebezoekers.
- Als het melden via het formulier niet mogelijk is, geef jouw melding dan telefonisch door via 088 - 1805 255.
- Meld je het datalek niet, dan kan de AP je bedrijf bestraffen met een boete.
- Doe aangifte van cybercrime bij de politie om de schade te kunnen verhalen bij de crimineel, de verzekering en andere instanties.