Naast natuurlijk alle stappen die u moet nemen om uw gegevens veilig te stellen en te beschermen, moet u ook goed nadenken over het informeren van de betrokkenen en de Autoriteit Persoonsgegevens. Dat lijkt ingewikkeld, en als u gaat googelen wordt u aan alle kanten ongerust gemaakt over boetes, maar het valt in de praktijk enorm mee.

Er zijn duidelijke criteria en die passen wij in de praktijk met een concreet stappenplan samen met de klant toe bij een incident. Over het algemeen geldt: des te gevoeliger de gegevens en des te meer gegevens zijn gelekt, des te groter het risico op schade. En hoe groter uw verplichtingen. Houd bovendien rekening met de personen van wie de gegevens zijn gelekt. Betreft het klantgegevens? Of van medewerkers? Wat is er gelekt? Alleen naam en email-adres, of ook salarisgegevens en bankrekeningen? Dan is het risico hoger.

Is onze conclusie dat het datalek gemeld moet worden, dan moet dit binnen 72 uur na de ontdekking ervan. De termijn begint te lopen op het moment dat u het datalek heeft ontdekt. Is het datalek niet ontstaan binnen uw organisatie maar bij een leverancier die voor u gegevens verwerkt, dan begint de termijn te lopen op het moment dat die verwerker u op de hoogte heeft gebracht van het datalek. U moet veel informatie aanleveren en ook verantwoorden hoe u geprobeerd heeft de schade van het datalek te beperken. Met ons stappenplan begeleiden wij dat strak en efficiënt.

Een datalek kan een groot risico opleveren voor betrokkenen. Dat is het geval wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. Denk aan identiteitsfraude, discriminatie of oplichting. In zo’n geval moet u hen rechtstreeks informeren. De betrokkenen moeten kunnen begrijpen wat er met hun persoonsgegevens is gebeurd. Daarom mag een mail of brief waarin u betrokkenen informeert, niet onnodig gecompliceerd en juridisch zijn. Geef kort en bondig uitleg over het datalek. De AVG stelt eisen aan wat er in zo’n brief moet staan, dus let erop dat u compleet bent.

Heeft u een datalek, raak dan niet meteen in paniek en bel. De gevolgen zijn vaak goed in kaart te brengen en uw inspanningen om de gevolgen te beperken zijn belangrijk. Voorkomen is altijd beter dan genezen; zorg dus voor een goede beveiliging van uw gegevens en voor goede instructies aan de werkvloer. Een goed en compleet privacybeleid helpt daarbij. Vergeet niet: u krijgt geen boete voor het datalek, maar voor de verkeerde aanpak ervan. Niet ingrijpen, niet melden, niet informeren, daarvoor krijgt u wel de boete. Dat heeft u gelukkig zelf in de hand.

U las zojuist één van de gratis premium artikelen

Onbeperkt lezen? Sluit nu een abonnement af

Start abonnement