Sinds 25 mei 2018 is de GDPR-reglementering (General Data Protection Regulation) van kracht. Het doel van de GDPR is om persoonlijke gegevens van individuen te beschermen en dit binnen een geharmoniseerde Europese context. De basisgedachte is dat de gegevens rechtmatig, behoorlijk en transparant moeten worden verwerkt ten aanzien van elke betrokkene.

 

Eén van de nieuwe verplichtingen die de GDPR heeft ingevoerd is de dubbele meldingsplicht in het geval van een datalek.

 

Een datalek wordt in de GDPR gedefinieerd als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

 

Er doet zich dus een datalek voor zodra persoonsgegevens dreigen ongeoorloofd openbaar te worden gemaakt, verloren te gaan, vernietigd of gewijzigd te worden.

Zo is er sprake van een datalek wanneer een computer gehackt wordt die persoonsgegevens bevat, los van het feit of deze gegevens gekopieerd of beschadigd worden. Er moet ook niet noodzakelijk sprake zijn van kwaad opzet om van een datalek te kunnen spreken: een e-mail die per ongeluk naar het verkeerde adres wordt gestuurd is ook een datalek.

 

Indien de verwerkingsverantwoordelijke een datalek vaststelt, welke een inbreuk vormt op de privacy van de betrokken natuurlijke personen, moet de Gegevensbeschermingsautoriteit (GBA) hiervan op de hoogte gebracht worden binnen de 72 uur.

De Gegevensbeschermingsautoriteit heeft hiertoe nu  een meldformulier voor gegevenslekken ter beschikking gesteld op hun website.

 

Ook de betrokkene moet in kennis gesteld worden indien de inbreuk een hoog risico vormt voor de privacy van de natuurlijke personen. Deze mededeling moet een omschrijving bevatten van de aard van het datalek, in passende en eenvoudige taal.

 

Onder volgende voorwaarden is een meldplicht alsnog niet vereist:

  • De gegevens werden onbegrijpelijk gemaakt, bijvoorbeeld door versleuteling
  • Er werden maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen
  • De mededeling zou onevenredige inspanningen vergen en de onderneming voorziet in een openbare mededeling of persbericht

 

Bron:

  • Website Gegevensbeschermingsautoriteit

Lees meer nieuws over: Tewerkstelling , Werken met personeel , privacy , wetgeving