Wie meer wil weten over datalekken kan op 1 oktober terecht bij het seminar AVG/GDPR: 1 jaar na datum. Hierin word je op praktische wijze bijgepraat over de AVG. Bezoekers krijgen onder meer handvatten om een datalek snel en efficiënt aan te pakken.
Een datalek zit namelijk in een klein hoekje. In dat geval moet je altijd in actie komen. Ook als het datalek buiten jouw schuld is ontstaan of wanneer je slechts de onterechte ontvanger van de persoonsgegevens bent.
Een paar voorbeelden
Jij (of jouw personeel) hoeft maar S. Janssen in Outlook aan te vinken, terwijl het betreffende bericht naar S. Jansen had moeten worden verzonden en je hebt al een datalek. Of wat dacht je van een brief die door de postbode op huisnummer 68A moest worden bezorgd, maar per ongeluk in de brievenbus van huisnummer 68B terecht is gekomen. Komt deze enveloppe geopend retour afzender? Dan is ook dit een datalek.
Externe factoren
Uiteraard spreken we pas van een datalek als er persoonsgegevens in de desbetreffende brief of e-mail waren opgenomen. Maar je proeft uit de voorbeelden dat er al snel sprake is van een datalek en dat dit niet altijd door een fout van jouzelf of jouw eigen personeel wordt veroorzaakt.
Ook een ander kan jou een datalek bezorgen, soms zelfs letterlijk. Op dat moment kun je niet met een beschuldigende vinger naar de postbode wijzen, maar zul je zelf in actie moeten komen. Weet je niet wat je op zo’n moment te doen staat? Dan heb je de maatregelen rond AVG/GDPR binnen jouw bedrijf nog niet op orde en loop jij onnodige risico’s!
Datalekprotocol
Als je verneemt dat er mogelijk sprake is van een datalek, dienen direct alle alarmbellen af te gaan en dien je te handelen conform jouw datalekprotcol volgens de AVG/GDPR. Je toetst allereerst of er werkelijke sprake is van een datalek, welke persoonsgegevens en vooral ook wie of welke organisaties erbij zijn betrokken. Stel je vast dat er sprake is van een datalek? Dan zijn er verschillende situaties mogelijk.
Laten we er als voorbeeld eens van uitgaan dat je een bureau hebt ingeschakeld om een groot aantal brieven aan klanten af te drukken en te versturen. Nu blijkt dit bureau brieven aan verschillende klanten in één enveloppe te hebben gestopt en verstuurd.
De ontvanger belt jou en vraag of er iets is misgegaan. In dat geval ben jij degene die het boetekleed moet aantrekken en mag je niet met de beschuldigende vinger naar het bureau wijzen. Je zult het bureau dan om een toelichting moeten vragen en zelf dit datalek bij de Autoriteit Persoonsgegevens en eventueel bij alle betrokkenen moeten melden. Afhankelijk van de afspraken die je hebt gemaakt met het bureau, kun je wellicht van hen een schadevergoeding eisen. Dit is echter geen vanzelfsprekendheid.
Ontvangen van datalek
In het tweede voorbeeld gaan we ervan uit dat jij een e-mail krijgt van een partij met wie jij veelvuldig samenwerkt. Daarin staat gevoelige informatie over een werknemer van hen. Zij hebben per ongeluk namelijk niet hun eigen HR-afdeling gemaild, maar die van jou. Je hebt uiteraard niets met deze informatie van doen. Is dit nu voor jou een datalek?
Nee, in dit geval heb jij geen datalek veroorzaakt die jij zou moeten melden bij de Autoriteit Persoonsgegevens of de betrokkene. Wel dien je zo spoedig mogelijk de afzender op de hoogte te brengen van de fout, zodat de afzender direct acties kan ondernemen.
De afzender zal wellicht van jou willen weten wanneer je het bericht hebt ontvangen. En wie kennis hebben genomen van het bericht. Ook zullen zij jou vragen om het bericht te vernietigen. Hier dien je aan mee te werken.
Kortom: is er sprake van een datalek, dan moet je altijd in actie komen. Ook als het datalek buiten jouw schuld is ontstaan of wanneer je slechts de onterechte ontvanger van de persoonsgegevens bent. Dit is binnen de AVG/GDPR de praktijk.
