De AVG verplicht u om alle incidenten met persoonsgegevens te documenteren, dus niet alleen van incidenten die een meldplichtig datalek opleveren. Dit betekent dat u zult moeten bijhouden welke incidenten zich voordoen, wat de feitelijke situatie per incident is, onder welke omstandigheden zich een incident voordeed, de gevolgen daarvan en de corrigerende maatregelen die u eventueel heeft getroffen. U moet dit op verzoek aan de AP kunnen laten zien. Door ook de incidenten te documenteren die volgens u geen meldplichtig datalek zijn, wil de AP kunnen nagaan of u terecht niet heeft gemeld.

Hieronder treft u een vragenlijst aan die u kunt gebruiken bij het documenteren van incidenten. Bij incidenten waarbij geen persoonsgegevens betrokken zijn, dan zult u al vrij snel klaar zijn. Als persoonsgegevens wel in gevaar zijn gekomen zult u meer vragen moeten doorlopen. De vragenlijst is gebaseerd op het formulier van de AP dat u op dit moment moet gebruiken bij het melden van een datalek. Is er dus sprake van een datalek dan is de informatie waar in deze bijlage naar wordt gevraagd de informatie die u minimaal aan de AP moet verstrekken. Overigens dateert het vragenformulier van december 2015. Mocht er eventueel een geupdatete versie beschikbaar worden gesteld door de AP, dan zullen wij dit deel van de serie AVG zo nodig aanpassen.

> Download de vragenlijst t.b.v. documentatie incidenten (word)

Vanaf 1 januari 2016 bestaat de meldplicht voor datalekken. Ook op grond van de AVG is er een meldplicht voor datalekken. Doet zich binnen uw bedrijf of bij één van uw verwerkers een datalek voor, dan bent u verplicht dat te melden bij de AP.

Van een datalek is sprake als er persoonsgegevens zijn vernietigd of verloren zijn gegaan, zijn gewijzigd, verstrekt of toegankelijk gemaakt op een manier die onrechtmatig is. Anders gezegd: Persoonsgegevens zijn in verkeerde handen gekomen. De meldplicht geldt echter alleen als het waarschijnlijk is dat het datalek een risico voor betrokkenen met zich meebrengt. Er kan zich een technisch of fysiek incident voordoen waarbij duidelijk is dat persoonsgegevens geen gevaar hebben gelopen. Zij zijn dan niet blootgesteld aan vernietiging, verlies, wijziging, etc., zodat er geen sprake is van een datalek. Hieronder tref u drie voorbeelden aan:
◾Persoonsgegevens zijn opgeslagen op een usb-stick en deze stick wordt gestolen: dit is een datalek.
◾Eén van uw werknemers laat een koffer met daarin persoonsgegevens achter in de trein. De koffer is voorzien van een goed slot en komt via ‘gevonden voorwerpen’ afgesloten weer bij u terug. Dit is géén datalek.
◾Uitval van firewall: geen datalek.

Een datalek moet vaak ook worden gemeld aan diegenen wiens gegevens gelekt zijn, namelijk als het zeer waarschijnlijk is dat het lek negatieve gevolgen voor hen heeft. Het gaat dan om een datalek met een zogenaamd ‘hoog risico’. Van een hoog risico is sprake als de te verwachten gevolgen van het datalek zich met grote waarschijnlijkheid voordoen. De kans dat die gevolgen zich verwezenlijken moet dus zeer waarschijnlijk zijn.

De termijn waarbinnen een datalek bij de AP moet worden gemeld is zéér kort: 72 uur na ontdekking. Ook als u nog niet alle feiten omtrent het datalek op een rijtje heeft, moet u de melding wel alvast doen.

Op dit moment heeft de AP nog geen nadere publicaties uitgebracht over de meldplicht datalekken zoals opgenomen in de AVG. Het lijkt er op dat de meldplicht datalekken onder de AVG (grotendeels) hetzelfde is als onder de Wbp. In ieder geval geldt wel een uitgebreidere documentatieplicht voor incidenten met persoonsgegevens, maar daarover gaat de volgende paragraaf. Er zit een publicatie van de AP over de meldplicht aan te komen, uiteraard komen wij bij u op dit onderwerp terug als er meer bekend is.

Doet zich een incident voor bij u en weet u niet of u dit moet melden of hoe u dat moet doen, neemt u dan contact op met Bedrijfsjuridisch Ledenadvies. Voor meer informatie over de meldplicht datalekken verwijzen wij u graag naar de huidige informatieve beleidsregels (versie 2015) die de AP hierover heeft opgesteld, te vinden via:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken