Articles

Wat is een datalek en wat moeten we doen in geval van een datalek?

Antwoord

Een datalek doet zich voor wanneer de gegevens waarvoor uw bedrijf/organisatie verantwoordelijk is, het slachtoffer worden van een beveiligingsincident dat resulteert in een inbreuk op de vertrouwelijkheid, beschikbaarheid of integriteit. Als dat gebeurt en het waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van een persoon, moet uw bedrijf/organisatie de toezichthoudende autoriteit zonder onnodige vertraging, en uiterlijk binnen 72 uur nadat zij van de inbreuk kennis heeft gekregen, daarvan in kennis stellen. Als uw bedrijf/organisatie een gegevensverwerker is, moet het elk datalek melden aan de voor de verwerking verantwoordelijke.

Als het datalek een hoog risico inhoudt voor de getroffen personen, moeten ook zij allemaal worden ingelicht, tenzij er doeltreffende technische en organisatorische beschermingsmaatregelen zijn getroffen, of andere maatregelen die waarborgen dat het risico zich waarschijnlijk niet meer zal voordoen.

Als organisatie is het van vitaal belang om passende technische en organisatorische maatregelen te treffen om mogelijke datalekken te voorkomen.

Voorbeelden

Organisatie moet de gegevensbeschermingsautoriteit en individuele personen op de hoogte brengen
De gegevens van de werknemers van een textielbedrijf zijn openbaar gemaakt. De gegevens omvatten de persoonlijke adressen, de gezinssamenstelling, het maandsalaris en de medische claims van elke werknemer. In dat geval moet het textielbedrijf de toezichthoudende autoriteit op de hoogte brengen van de inbreuk. Aangezien de persoonsgegevens gevoelige gegevens omvatten, zoals gezondheidsgegevens, moet het bedrijf ook de werknemers inlichten.

Een ziekenhuismedewerker besluit de gegevens van patiënten op een cd te kopiëren en online te zetten. Het ziekenhuis komt daar een paar dagen later achter. Zodra het ziekenhuis erachter komt, heeft het 72 uur om de toezichthoudende autoriteit in te lichten en aangezien de persoonsgegevens gevoelige informatie bevatten, zoals of een patiënt kanker heeft, zwanger is, enz. moet het ook de patiënten inlichten. In dat geval zou twijfel rijzen over de vraag of het ziekenhuis passende technische en organisatorische beschermingsmaatregelen heeft genomen. Als het inderdaad passende beschermingsmaatregelen heeft genomen (bijvoorbeeld versleuteling van de gegevens), is een aanmerkelijk risico onwaarschijnlijk en kan het worden vrijgesteld van kennisgeving aan de patiënten.

Bedrijf moet klanten op de hoogte stellen en deze moeten vervolgens mogelijk de gegevensbeschermingsautoriteit en personen op de hoogte stellen
Een clouddienst verliest verschillende harde schijven met persoonsgegevens van verschillende van zijn klanten. Het bedrijf moet deze klanten op de hoogte stellen zodra het van de inbreuk op de hoogte is. Zijn klanten moeten de gegevensbeschermingsautoriteit en de individuele personen in kennis stellen, afhankelijk van de gegevens die door de gegevensverwerker werden verwerkt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *