Je hebt melding van een mogelijk datalek gedaan, wat gebeurt er nu?

1. De FG stelt vast of er in technische zin sprake is van een datalek
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Hij neemt daarvoor een vragenlijst met je door. Je kunt deze onderaan deze pagina downloaden en zelf vast invullen. 

2. De impact van het privacyrisico wordt beoordeeld
Hoe lang heeft de ongewenste situatie plaatsgevonden, wat is de omvang van de groep die het betreft en wat is de schade voor betrokkenen indien iemand die kwaad in de zin heeft toegang heeft tot de gelekte data? 

3. Vervolgstappen
Welke stappen dienen gezet te worden om de ongewenste situatie zo snel mogelijk te eindigen? Is er vervolgonderzoek nodig om de impact te kunnen vaststellen?

4. Transparantie en communicatie naar betrokkenen 
Op welke wijze en met welke informatie kunnen de betrokkenen direct worden geïnformeerd over het voorval, zodat zij zijn geïnformeerd en zelf vervolgacties kunnen nemen die voor het mogelijke risico's wegnemen of verkleinen.

5. Melding bij AP?
Beoordeling of het datalek bij de Autoriteit Persoonsgegevens (AP) gemeld moet worden.

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

6. Voorkomen van vergelijkbare gevallen.
Welke aanvullende actie is noodzakelijk en wenselijk voor de bij het mogelijk datalek betrokkenen medewerkers? Denk aan evaluatie, formuleren lessons learned en aanpassing werkproces. Denk ook aan een specifieke awareness bijeenkomst en/of training verzorgd door de EUR privacy organisatie. De casus kan worden toegevoegd als leerpunt in de EUR awareness campagne en/of privacy training en worden toegevoegd in de FAG lijst op MyEUR. Afspraken maken met bij het mogelijk datalek betrokkenen medewerkers over een toetsmoment om vast te stellen of de aangepaste werkwijze inderdaad effectief is.


Vijf vuistregels voor het omgaan met persoonsgegevens
Bekijk ook eens onderstaand filmpje en verspreid het binnen je afdeling.

vuistregels privacy