Meldplicht datalekken onder de AVG
Blog 26-03-2018
Op 6 februari heeft De Article 29 Workingparty op het gebied van Privacy een nieuw beleidsdocument vastgesteld met betrekking tot datalekken. De artikel 29 werkgroep adviseert de Europese Commissie over gegevensbeschermingskwesties en streeft naar het harmoniseren van beleid binnen de `EU lidstaten. De Autoriteit Persoonsgegevens vertaalt deze documenten in het Nederlands.
In Nederland hadden wij al beleidsregels aangezien Nederland vooruitlopend op de AVG de datalekkenwet al op 1 januari 2016 heeft ingevoerd. Deze beleidsregels zijn verouderd en zullen worden aangepast naar het nieuwe beleid.
In de nieuwe beleidsregels wordt de volgende definitie gebruikt voor een datalek:
“Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”
Er kunnen drie typen datalekken worden onderscheiden:
- Een datalek waarbij de vertrouwelijkheid is geschonden;
- Een datalek waarbij de integriteit van de gegevens is geschonden ze zijn aangepast.
- Een datalek waardoor gegevens niet langer beschikbaar of beschikbaar zijn voor ongeautoriseerde personen.
Om de ernst van een datalek te bepalen en te bepalen of er melding moet plaatsvinden aan de autoriteit persoonsgegevens of de betrokkenen heeft de European Union Agency for Network and Information Security (ENISA) een document opgesteld waarnaar de Article 29 Workingparty verwijst. Voor meer informatie over het bepalen van de ernst van een datalek klik hier. De beleidsdocumenten zijn hier te vinden.
Mocht u vragen hebben over datalekken of privacy neem dan contact met ons op.