Een datalek en dringend advies nodig?
Contacteer ons op ons nummer 0479 50 46 35
Contacteer ons op ons nummer 0479 50 46 35
Er wordt gesproken over een gegevenslek in situaties waarin persoonsgegevens dreigen ongeoorloofd te worden openbaar gemaakt, verloren te gaan, vernietigd of gewijzigd te worden.
De melding moet gebeuren door de verantwoordelijke voor de gegevensverwerking.
Dankzij de melding kan de Autoriteit de impact van het gegevenslek inschatten samen met de verantwoordelijke voor de verwerking van de gelekte gegevens, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.
De meldingstermijn bedraagt in principe maximaal 72 uur nadat het gegevenslek werd vastgesteld. Als de verantwoordelijke voor de gegevensverwerking in eerste instantie over weinig of geen informatie beschikt, kan hij de melding wel in twee fasen opdelen.
In alle gevallen wordt de kennisgeving gericht aan de Autoriteit.
Bovendien moet in sommige gevallen een kennisgeving worden verricht aan de betrokken personen, dus de personen van wie de gegevens gelekt zijn.
Kennisgeving aan de Autoriteit gebeurt via een beveiligd formulier, dat via de e-formsapplicatie verstuurd moet worden. Meer uitleg is terug te vinden in de e-formshandleiding.
De verantwoordelijke voor de gegevensverwerking meldt het gegevenslek aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.
De kennisgeving aan de betrokken personen is in duidelijke taal opgesteld en is makkelijk te begrijpen. De Autoriteit beveelt aan om tenminste de hiernavolgende informatie verstrekken:
Bij twijfel kunt u de Autoriteit om raad vragen over het al dan niet melden van het gegevenslek aan de betrokken personen.
Naast het geval dat de omstandigheden uitwijzen dat het gegevenslek de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Autoriteit niet hoeft in te lichten over het gegevenslek:
wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;
wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100) getroffen is EN geen gevoelige gegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.
In geval van twijfel doet de verantwoordelijke toch best een melding bij de Autoriteit.
Praktijkvoorbeelden:
– niet versleutelde laptop is gestolen
– Hacking
– Gegevens werden verkeerd geplaatst in de cloud bij een andere klant of openbaar geplaatst
– …
[vc_separator type=”normal”]