Nieuwe Europese richtlijnen over datalekmeldingen

8 juni 2021
Artikel

De European Data Protection Board (EDPB) heeft nieuwe richtlijnen over datalekmeldingen opgesteld. De richtlijnen geven aan welke maatregelen organisaties moeten nemen bij een datalek. Maar wat is een datalek? En wat zijn de richtlijnen?

Portretfoto van Niels Ista
Neem contact op met:
Niels Ista Jurist ondernemingsrecht en ICT-recht
data wordt verspreid door lek

Wat is een datalek?

Een datalek of privacylek houdt in dat persoonsgegevens in handen vallen van derden, die geen toegang tot deze gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt, er persoonsgegevens zonder toestemming worden gewijzigd of wanneer zonder toestemming bepaalde persoonsgegevens worden doorgestuurd. De term ‘datalek’ komt niet voor in officiële wetgeving. De Algemene Verordening Gegevensbescherming (AVG) kent de term dan ook niet. Zij noemen het ‘een inbreuk in verband met persoonsgegevens’. Dit klinkt wellicht als een ver-van-uw-bed-show, maar de kans is groot dat binnen uw organisatie al diverse datalekken hebben plaatsgevonden. Er is immers al sprake van een datalek wanneer u of een van uw werknemers een e-mail met daarin persoonsgegevens naar het verkeerde e-mailadres stuurt. Echter, er zijn ook meer duidelijke voorbeelden te noemen, zoals het kwijtraken van een usb-stick en/of harddisk met daarop persoonsgegevens. Ook wanneer persoonsgegevens verloren gaan door middel van brand en/of waterschade spreken we van een datalek. En is uw organisatie getroffen door een cyberaanval en heeft de crimineel persoonsgegevens weten te bemachtigen? Ook dan is er sprake van een datalek.

Huidige regelgeving voorlopig van kracht

De nieuwe richtlijnen van de EDPB zijn een aanvulling op de reeds bestaande algemene richtlijnen met betrekking tot datalekken. In de richtlijnen zijn veel voorkomende varianten datalekken opgenomen, zoals:

  • ransomware-aanvallen;
  • kwijtgeraakte of gestolen apparatuur;
  • mails die per ongeluk zijn verzonden aan een onjuiste ontvanger;
  • data exfiltratie;
  • identiteitsfraude;
  • ongeoorloofd gebruik van bedrijfsdata door een ex-werknemer.

Per categorie wordt aan de hand van concrete praktijkcases een situatie geschetst. Bijvoorbeeld ‘ransomware zonder degelijke back-up’ of ‘onbedoelde overdracht van gegevens naar een vertrouwde derde partij’. Vervolgens staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen in het kader van risicomanagement. Ook staat vermeld welke maatregelen de organisatie na het desbetreffende incident moet nemen om de mogelijke schadelijke gevolgen te beperken. Daarnaast is er per type datalek aangegeven op welke wijze organisaties de risico’s het beste kunnen beoordelen. Er staat vermeld of en zo ja wanneer de toezichthouder op de hoogte moet worden gesteld van het datalek. In alle gevallen moeten de betrokkenen geïnformeerd worden.

Definitieve richtlijnen datalek

De nieuwe richtlijnen zijn nog niet definitief. Betrokken partijen kunnen tot 2 maart 2021 commentaar leveren op het concept, via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve richtlijnen vast, om ze zo snel mogelijk te publiceren.

Meer weten?

De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op het gebied van privacyrecht en kunnen u bijstaan bij het oplossen van juridische vraagstukken. Neem contact op met Niels Ista, jurist ondernemingsrecht en ICT-recht, via telefoonnummer 0165-531330 of stuur Niels een e-mail

Wilt u meer weten over de nieuwe richtlijnen voor datalekmeldingen? Onze specialist helpt u graag verder!

E-mail Niels
Portretfoto van Niels Ista
Jurist ondernemingsrecht en ICT-recht
Bel
013-4647180