Persoonsgegevens kunnen verloren gaan of in verkeerde handen terecht komen. Dat noemen we een datalek. Het gaat dan om situaties waarbij iemand die dat niet mag toegang heeft gekregen tot persoonsgegevens. Bijvoorbeeld bij het hacken van uw computer. Ook het ongewenst verliezen, veranderen of doorgeven van persoonsgegevens aan een ander kunnen een datalek opleveren. Denk bijvoorbeeld aan de situatie dat u per ongeluk persoonsgegevens heeft gewist en geen back-up heeft. Hoe u omgaat met zo’n situatie, leest u hieronder:
Zorg dat u weet wat er is gebeurd. Alleen dan kunt u namelijk de juiste vervolgstappen nemen.
Zorg dat het datalek ophoudt en beperk de negatieve gevolgen ervan. Stel dat een laptop van uw bedrijf is gestolen, bekijk dan of u de laptop op afstand kunt wissen. Dan heeft de dief geen toegang meer tot de persoonsgegevens op de laptop.
Vaak moet een datalek binnen 72 uur na ontdekking bij de Autoriteit Persoonsgegevens worden gemeld. Maar melden hoeft niet altijd. Of u een lek moet melden hangt af van het risico dat de slachtoffers lopen door het lek. Soms moet u de slachtoffers ook zelf informeren. Dat hoeft alleen als het lek waarschijnlijk een hoog risico voor hen oplevert. Meer informatie over het wel of niet melden van een datalek vindt u op de website van de Autoriteit Persoonsgegevens.
Alle organisaties en bedrijven moeten een datalekregister hebben. Daarin kunt u het datalek vermelden. Beschrijf in het register wat er is gebeurd, wat de gevolgen waren en wat u heeft gedaan om de situatie te verhelpen. Ook een datalek dat niet bij de Autoriteit Persoonsgegevens hoeft te worden gemeld, moet u opnemen in uw datalekregister. Wilt u een voorbeeld zien van zo’n register? Kijk dan op de site van de Autoriteit Persoonsgegevens.
Het is handig om intern afspraken te maken over hoe u als bedrijf omgaat met datalekken. Wie doet wat en wie houdt het overzicht over alle acties? Denk hierbij aan afspraken over bij wie een datalek wordt gemeld, wie de melding bij de Autoriteit Persoonsgegevens doet, wie van de ICT-afdeling er zo nodig bij wordt betrokken, enz. Zorg ook dat uw werknemers weten wat een datalek is en wat zij moeten doen als zij denken dat er een datalek is. Het is goed hier regelmatig aandacht voor te vragen.
Heeft u te maken met een datalek? Zorg dan allereerst dat u goed onderzoekt wat er is gebeurd. Wilt u juridisch advies over uw situatie? Neem dan gerust contact op met één van de Sociaaljuridisch adviseurs. Dat kan via: 030-605.33.44 of sj@metaalunie.nl.