Ons team aan het woord over de AVG: Meldplicht datalekken

July 26, 2018

De AVG staat centraal in het werk van ons team. Dit betekent dat we er iedere dag mee werken, de teksten analyseren, de verplichtingen willen doorgronden en deze met name willen vertalen naar praktische handvatten voor onze klanten. Met welk artikel werken onze collega’s het liefst? Hoe helpen we onze klanten om het artikel te implementeren? In deze blogreeks is ons team aan het woord, elk over één artikel in het bijzonder. Vandaag staat de blogreeks in het kader van de beginselen van de meldplicht datalekken!

Erwin

Organisaties moeten de persoonsgegevens op een juiste en behoorlijke manier beveiligen. Dit betekent dat je als organisatie goed moet nadenken over het risico van de verwerking, en op basis daarvan de beveiligingsmaatregelen moet toepassen. Wanneer deze beveiligingsmaatregelen doorbroken worden, kan het zijn dat er een datalek ontstaat. Het moeten melden van datalekken aan de Autoriteit Persoonsgegevens is voor Nederland niet nieuw, deze plicht geldt sinds begin 2016. Met de komst van de AVG is deze meldplicht op grond van artikel 33 voor alle EU-landen van toepassing. Erwin schrijft hier het volgende over:

“In 2017 zijn er 10.000 datalekken gemeld bij de autoriteit. Dat is een stijging van ruim 70% ten opzichte van 2016. Zou het aantal datalekken zo sterk zijn toegenomen? Dat is lastig om te zeggen. Waarschijnlijk maken organisaties vooral eerder melding van een datalek. Het daadwerkelijke aantal datalekken werd voor 2016 namelijk al op 24.000 geschat. Dat roept de vraag op hoe het meldingsgedrag van organisaties zich verder gaat ontwikkelen. En hoe we statistieken over meldingen kunnen interpreteren? Deze ontwikkeling ga ik de aankomende jaren dus zeker volgen. Helemaal aangezien sinds mei de meldplicht in alle EU-landen geldt.”

Anouk

Naast de verplichting om een datalek in bepaalde gevallen te moeten melden aan de Autoriteit Persoonsgegevens, is er nog een artikel uit de AVG die hierbij belangrijk is. Artikel 34 AVG verplicht de organisatie om de betrokkenen waarvan data is gelekt op de hoogte te stellen en te informeren over de acties die zij kunnen ondernemen. Dit is wat Anouk zegt over deze verplichting:

“Het beschermen van de betrokkene, dat is waar de AVG om draait. Daarom stelt artikel 34 organisaties verplicht om de betrokkene te informeren wanneer een datalek een hoog risico voor hen tot gevolg heeft. Maar kan je als organisatie wel goed inschatten wat die gevolgen zijn voor die individuele betrokkene? Soms niet, daar ben ik zeker van. Daarom vind ik het belangrijk dat de zorgplicht en klantgerichtheid hierbij ook een rol spelen. Om zo écht bescherming van de betrokkene te bewerkstelligen.”

Nieuwsgierig naar welke andere onderdelen uit de AVG onze collega’s gaan vertellen? Morgen – op 27 juli tijdens het middaguur – vertellen Iris en Frank over de gegevensbeschermingseffectbeoordeling, de gedragscodes en certificering!

Download