De meldplichten bij datalekken zijn wettelijke verplichtingen onder de AVG, waarbij organisaties binnen 72 uur een privacyschending moeten rapporteren aan de Autoriteit Persoonsgegevens. Daarnaast moeten betrokkenen geïnformeerd worden wanneer er een hoog risico bestaat voor hun rechten en vrijheden. Deze meldplichten zijn essentieel voor rechtmatige gegevensbescherming en het voorkomen van zware boetes.
Wat is een datalek en wanneer moet dit gemeld worden?
Een datalek is elke inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens. Dit omvat technische storingen, menselijke fouten en opzettelijke aanvallen. Een incident wordt meldingsplichtig wanneer er daadwerkelijk persoonsgegevens betrokken zijn en er risico bestaat voor betrokkenen.
Voorbeelden van meldingsplichtige datalekken zijn hackaanvallen waarbij klantgegevens worden gestolen, het per ongeluk versturen van e-mails naar verkeerde ontvangers of het verlies van een laptop met patiëntdossiers. Een beveiligingsincident wordt pas een daadwerkelijk datalek wanneer persoonsgegevens daadwerkelijk gecompromitteerd zijn.
Het verschil tussen een beveiligingsincident en een datalek ligt in de daadwerkelijke impact op persoonsgegevens. Een poging tot inbraak die wordt afgeweerd, is een incident. Wanneer de aanvaller echter toegang krijgt tot persoonsgegevens, ontstaat er een meldingsplichtig datalek volgens de AVG-meldplicht.
Binnen welke termijn moet een datalek gemeld worden?
Een datalek moet binnen 72 uur na ontdekking gemeld worden aan de Autoriteit Persoonsgegevens. Betrokkenen moeten zonder onnodige vertraging geïnformeerd worden wanneer er een hoog risico bestaat voor hun rechten en vrijheden. Deze meldtermijn voor datalekken geldt vanaf het moment dat de organisatie redelijkerwijs kennis had van het incident.
Voor melding aan betrokkenen geldt geen specifieke termijn, maar deze moet “zonder onnodige vertraging” plaatsvinden. In de praktijk betekent dit meestal binnen enkele dagen na ontdekking. Organisaties kunnen uitstel krijgen voor de 72-uurmelding wanneer zij aantoonbaar meer tijd nodig hebben voor onderzoek.
Uitzonderingen op de meldplichten bestaan wanneer het datalek waarschijnlijk geen risico oplevert voor de rechten en vrijheden van betrokkenen, bijvoorbeeld bij goed versleutelde gegevens waarvan de sleutel niet gecompromitteerd is. Zorginstellingen moeten extra alert zijn vanwege de gevoelige aard van gezondheidsgegevens.
Aan wie moet een datalek gemeld worden en hoe?
Datalekken moeten gemeld worden aan de Autoriteit Persoonsgegevens via het officiële online meldportaal op hun website. Daarnaast moeten betrokkenen direct geïnformeerd worden bij een hoog risico, en vaak moeten ook klanten, partners of andere externe partijen op de hoogte gebracht worden. Interne escalatieprocedures zorgen voor een snelle afhandeling binnen de organisatie.
Het online portaal van de Autoriteit Persoonsgegevens is de officiële weg voor formele meldingen. Organisaties kunnen niet volstaan met telefonische of e-mailmeldingen. Voor communicatie naar betrokkenen kunnen verschillende kanalen gebruikt worden: e-mail, brief, websiteaankondiging of in extreme gevallen zelfs openbare bekendmaking.
Interne procedures moeten waarborgen dat de juiste personen (zoals de functionaris voor gegevensbescherming) direct geïnformeerd worden. Externe partijen zoals klanten, leveranciers of samenwerkingspartners moeten geïnformeerd worden wanneer hun gegevens betrokken zijn of wanneer contractuele verplichtingen dit vereisen.
Welke informatie moet in een datalekmelding staan?
Een datalekmelding moet de aard van de inbreuk, de categorieën en het aantal betrokkenen, de waarschijnlijke gevolgen, de genomen maatregelen en de contactgegevens van de functionaris voor gegevensbescherming bevatten. Ook de tijdlijn van het incident en voorgestelde vervolgmaatregelen zijn verplichte onderdelen van elke melding.
De verplichte elementen omvatten een beschrijving van de omstandigheden van het datalek, de categorieën persoonsgegevens die betrokken zijn en een inschatting van het aantal getroffen personen. Organisaties moeten ook de waarschijnlijke gevolgen beschrijven en aangeven welke maatregelen al genomen zijn om het lek te stoppen.
Contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon zijn essentieel voor verdere communicatie. De tijdlijn moet duidelijk maken wanneer het incident plaatsvond, wanneer het ontdekt werd en welke stappen sindsdien ondernomen zijn. Voorgestelde maatregelen tonen aan dat de organisatie leert van het incident.
Wat zijn de gevolgen van het niet naleven van meldplichten?
Het niet naleven van meldplichten kan leiden tot boetes tot € 20 miljoen of 4% van de jaaromzet door de Autoriteit Persoonsgegevens. Daarnaast ontstaat reputatieschade, mogelijke juridische claims van betrokkenen en een negatieve impact op certificeringen zoals ISO 27001 en NEN 7510. Deze gevolgen kunnen de bedrijfscontinuïteit ernstig bedreigen.
De Autoriteit Persoonsgegevens hanteert verschillende sancties, afhankelijk van de ernst van de overtreding. Naast financiële boetes kunnen zij waarschuwingen geven, verwerkingsverboden opleggen of andere bestuurlijke maatregelen treffen. Reputatieschade is vaak langduriger dan financiële sancties en kan het klantvertrouwen permanent beschadigen.
Voor gecertificeerde organisaties kunnen datalekken en onvolledige meldingen leiden tot intrekking of opschorting van certificeringen. NEN 7510-certificering voor zorginstellingen vereist aantoonbare incidentmanagementprocedures. Juridische consequenties kunnen ontstaan door claims van betrokkenen die schade hebben geleden door het datalek.
Een goede voorbereiding op privacy-incidenten voorkomt veel problemen. Organisaties die hun meldplichten bij datalekken serieus nemen, investeren in preventieve maatregelen en duidelijke procedures. Voor professionele begeleiding bij het opzetten van incidentmanagementprocedures of het behalen van beveiligingscertificeringen kunt u contact met ons opnemen.
Veelgestelde vragen
Wat gebeurt er als ik de 72-uur termijn voor datalek melding mis?
Het missen van de 72-uur termijn kan leiden tot boetes tot €20 miljoen of 4% van de jaaromzet. De Autoriteit Persoonsgegevens beoordeelt elke situatie individueel en kijkt naar de ernst van het datalek en de reden van vertraging.
Hoe weet ik of een beveiligingsincident daadwerkelijk een meldingsplichtig datalek is?
Een incident wordt meldingsplichtig wanneer persoonsgegevens daadwerkelijk gecompromitteerd zijn en er risico bestaat voor betrokkenen. Een afgeweerde aanval zonder toegang tot gegevens is geen meldingsplichtig datalek, maar wel een beveiligingsincident.
Wanneer moet ik betrokkenen informeren over een datalek en hoe doe ik dat?
Betrokkenen moeten zonder onnodige vertraging geïnformeerd worden bij hoog risico voor hun rechten en vrijheden. Dit kan via e-mail, brief, website-aankondiging of in extreme gevallen openbare bekendmaking, meestal binnen enkele dagen na ontdekking.
Wat als ik geen functionaris voor gegevensbescherming heb bij een datalek?
Ook zonder functionaris voor gegevensbescherming blijft de meldplicht bestaan. U moet dan andere contactgegevens verstrekken van een verantwoordelijke persoon binnen uw organisatie die kan fungeren als aanspreekpunt voor de Autoriteit Persoonsgegevens.
