Meldplicht datalekken

Nieuwe guidelines voor het melden van datalekken


De AVG geeft een aantal regels rondom de meldplicht van datalekken. De Artikel 29-werkgroep heeft eerder algemene richtlijnen opgesteld voor het melden van datalekken. De opvolger van deze werkgroep, de EDPB, heeft recent nieuwe guidelines voorgesteld.

Nieuwe guidelines voor het melden van datalekken

De European Data Protection Board (EDPB) heeft nieuwe guidelines vastgesteld voor het melden van datalekken

Het gaat hier om een consultatie. De guidelines zijn dus nog niet definitief. De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep. Na de consultatie stelt de EDPB de definitieve guidelines vast. 

De guidelines helpen organisaties bij de maatregelen die ze moeten nemen bij een datalek.

Veel voorkomende datalekken

Het aardige van de guidelines is, dat er een lijst met veel voorkomende soorten datalekken wordt gegeven. Per soort datalek is er vervolgens aangegeven welke maatregelen je als organisatie moet nemen wanneer je hiermee wordt geconfronteerd. Daarnaast wordt beschreven welke maatregelen je vooraf al had moeten nemen. De guidelines hebben hierdoor ook een preventief karakter.

In het overzicht van soorten datalekken vindt je uiteenlopende situaties terug. Zoals een Ransomware aanval op een organisatie mét, als zonder een goede back-up. Of een gestolen laptop mét en zonder data encryptie. In het overzicht wordt ook aangegeven wanneer je de toezichthouder (AP) op de hoogte moet brengen en wanneer de betrokken personen.

Consultatie staat open

Mocht je nog inbreng willen leveren: de consultatie staat open tot 2 maart 2021. Je kunt commentaar leveren via de website van de EDPB.

Hoe te handelen bij datalekken en het voorkomen ervan

Zoek je meer informatie over hoe je datalekken kunt voorkomen en hoe je moet handelen wanneer zich een datalek voordoet? Kijk bijvoorbeeld eens terug naar dit artikel: “Aansprakelijk worden gesteld omdat je gegevens niet adequaat hebt beveiligd? Of omdat je niet de passende technische- en organisatorische maatregelen hebt getroffen om datalekken te voorkomen? Dat wil je niet! Maar hoe kun je aan deze open normen voldoen?