Menu
JPR Advocaten

Help een datalek, wat nu?

Geschreven op 16 februari 2017  •  Auteur: Leonie Ouwersloot-Koster
Help een datalek, wat nu?

Er is veel te lezen over het feit dat bedrijven verplicht zijn datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Maar wat is nu een datalek en wanneer moet u nu als bedrijf daadwerkelijk een melding doen bij de AP?

De AP heeft op haar website een handreiking gepubliceerd waarin staat of een melding bij de AP moet plaatsvinden. Let op: alleen datalekken moeten gemeld worden bij de AP en dus geen beveiligingslekken. 

Wat is een datalek:

Is er sprake van een inbreuk op de beveiliging?

Op grond van artikel 13 Wet bescherming persoonsgegevens (Wbp) is elke verantwoordelijke verplicht om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

Om te kunnen spreken van een beveiligingsinbreuk dient zich echt een beveiligingsincident te hebben voorgedaan en de preventieve maatregelen die u eventueel getroffen heeft waren niet voldoende om het beveiligingsincident te voorkomen. Hierbij kan gedacht worden aan een fout in de software waardoor een derde kennis heeft kunnen nemen van gegevens van een ander, het verliezen van een USB stick of een brand in een datacentrum.

Zijn er bij de inbreuk persoonsgegevens verloren gegaan?

Het verloren gaan van persoonsgegevens houdt in dat u zelf de gegevens niet meer heeft. Indien deze situatie zich voordoet, is sprake van een datalek. Voor de vraag of er sprake is van een datalek is het niet relevant hoe de persoonsgegevens verloren zijn gegaan. Er wordt ook gesproken van een datalek in geval van een brand in een datacentrum en er geen actuele reservekopie beschikbaar is.

Is het redelijkerwijs uit te sluiten dat er persoonsgegevens onrechtmatig zijn verwerkt?

Wanneer gesproken wordt over onrechtmatige verwerking, gaat het over de aantasting van persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking van persoonsgegevens.

Op het moment dat niet uitgesloten kan worden dat een van voormelde situaties zich heeft voorgedaan, moet de inbreuk worden gezien als een datalek. 

Datalek, wat nu?

Niet elk datalek hoeft gemeld te worden. Wanneer sprake is van een ernstig datalek, dan dient dit lek bij de AP gemeld te worden. Deze melding dient binnen 72 uur plaats te vinden. De AP spreekt over een ernstig lek wanneer er gevoelige gegevens (kwalitatief ernstig) of heel veel gegevens (kwantitatief ernstig) zijn gelekt. Denk bij gevoelige gegevens aan financiële gegevens, kopieën van identiteitsbewijzen of bijvoorbeeld medische gegevens.

Wat te doen bij een beveiligingslek

Indien ‘slechts’ sprake is van een beveiligingslek, moet u voorkomen dat dit uitmondt in een beveiligingsinbreuk en daarmee een datalek. Er dienen dan ook passende technische en organisatorische maatregelen te worden getroffen. Of de beveiliging een passend niveau heeft bereikt is ter beoordeling van beveiligingsexperts aan de hand van professionele standaarden.

Kortom, niet elk lek is een datalek en moet worden gemeld aan de AP. Op het moment dat een lek wordt geconstateerd, doet u er goed aan om eerst aan de hand van het stappenplan van de AP vast te stellen over wat voor soort lek het gaat, waarna u actiepunten kunt gaan formuleren. JPR Advocaten is graag bereid u hierbij te ondersteunen.


Leonie Ouwersloot-Koster
Mr. L.J.T. Ouwersloot-Koster

“In ons vak is geen dag hetzelfde. Ik kom dagelijks bij de meest uiteenlopende bedrijven. De dynamiek en de veelzijdigheid van vraagstukken, het discussiëren en onderhandelen waarbij het belang van de klant voorop staat, intrigeren mij. Deze aspecten van het vak van advocaat trokken mij ook aan, waardoor ik al snel wist dat ik de advocatuur in wilde. Mijn doel is altijd het bereiken van een oplossing waar mijn klant tevreden over is.
 
In het arbeidsrecht kom ik in aanraking met veel verschillende kwesties. Zo denk ik mee over beleid, begeleid ik individuele en collectieve ontslagprocedures en ondersteun ik OR-adviestrajecten.
 
Verder ben ik gespecialiseerd in het privacyrecht. Ik adviseer cliënten bij de implementatie van de AVG en denk ik mee op beleidsmatig niveau. Daarnaast geef ik workshops aan klanten en belanghebbenden. Mijn doel daarbij is deelnemers informatie geven waar ze direct mee aan de slag kunnen.”

Over Leonie

Leonie is sinds 2009 advocaat en is gespecialiseerd in het arbeidsrecht en privacyrecht. Leonie is betrokken bij haar klanten en heeft een pragmatische aanpak. Ze is actief in de ouderraad van de school van haar kinderen.

Contact opnemen met JPR

Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: