14 februari 2019

2018: 21.000 datalekken gemeld bij Autoriteit Persoonsgegevens

Categorie: Bestuursrecht

2018: 21.000 datalekken gemeld bij Autoriteit Persoonsgegevens

Het aantal meldingen van datalekken is ten opzichte van 2017 verdubbeld.

Wat is een datalek?

Wat is een datalek? De AVG geeft de navolgende definitie: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

Dit kan variëren van vergeten documenten in de trein, tot een website die gehackt wordt waarna er gegevens gestolen worden.

Meldplicht bij een datalek: binnen 72 uur

Sinds de introductie van de AVG bestaat er een meldplicht bij een datalek voor organisaties. Wanneer er sprake is van een datalek moet dit binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld worden, wanneer dit later gebeurt moet hier afdoende motivering voor zijn. Er is slechts één uitzondering op de regel: indien het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen kan het melden van het datalek uitblijven.

Stijging in meldingen

In 2018 is het aantal meldingen veel hoger uitgevallen dan oorspronkelijk gedacht. Deze stijging in meldingen kwam vooral uit de zorg & welzijn, openbaar bestuur en financiële sectoren. Bij deze meldingen ging het bij twee-derde van de gevallen om het verkeerd toesturen van gegevens, waar het bij de ander een-derde ging om onrechtmatige wijze ging. Deze onverwachte hoge uitval heeft ertoe geleid dat de Autoriteit Persoonsgegevens haar capaciteit gaat uitbreiden, onder andere met het doel om meer te handhaven. Meld dus tijdig!

Instrumenten AP

2018 was voor de AP een jaar van inlichten. De AP heeft veel uitleg gegeven aan organisaties over de toepassing van de AVG, waarna eventueel gesprekken volgden waar om extra informatie werd gevraagd met betrekking tot het datalek. Meestal leiden deze interventies tot waarschuwingen en de beëindiging van de overtreding.

Boete datalek

Wanneer een organisatie haar datalek niet meldt kan dit bestraft worden met een boete voor een datalek. Zo kreeg Uber een boete van €600.000,- voor het te laat melden van haar datalek aan de AP en de betrokkenen.

AVG en het melden van datalekken

Heeft u vragen met betrekking tot de AVG en het melden van datalekken? Neem dan gerust contact op Blenheim.