21 dec. 2017 | Wet & Regelgeving | Edwin Somhorst

Incidenten

AVG stelt strengere eisen bij incidenten

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde, maar de nieuwe wetgeving stelt wel strengere eisen aan de registratie van de datalekken die zich bij jouw organisatie hebben voorgedaan. Je moet alle datalekken documenteren en die meldplicht gaat verder dan de protocolplicht van de WBP.

De AVG stelt dat:

  • De verwerker de verwerkingsverantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 72 uur na de eerste ontdekking – informeert over alle (vermoedelijke) inbreuken op de beveiliging. Alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene.
  • Verwerker zal, op het verzoek van de verwerkingsverantwoordelijke, alle (aanvullende) informatie verschaffen die de verwerkingsverantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.
  • De verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de verwerkingsverantwoordelijke, op diens verzoek, inzage verschaffen in het plan.
  • De verwerker dient te beoordelen of het doen van meldingen aan de toezichthouder(s) door de verwerkingsverantwoordelijke plaats dient te vinden of door verwerker.
  • De verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen.

Procedure datalekken

In de meeste gevallen wordt voor het proces rondom incidenten gesproken over de procedure meldplicht datalekken, welke onder de WBP tot stand is gekomen. In de meeste gevallen voldoet deze procedure nog, indien deze aangevuld wordt met details rondom de registratie en documentatie van incidenten.

Naast de registratie is ook het verzamelen van bewijs en de analyse van het incident van groot belang om te beoordelen of een datalek zich heeft voorgedaan. Hierbij wordt ook bepaald of melding gedaan dient te worden aan de Autoriteit Persoonsgegevens (direct dan wel via de verwerkingsverantwoordelijke) en of de betrokkenen geïnformeerd dienen te worden.

 

Datalek melding

Indien een datalek melding gedaan moet worden dan dienen hierin een aantal vaste onderdelen vermeld te worden:

  • Aard van de melding. Bv. is dit een nieuwe melding of een vervolg op een eerdere melding.
  • Algemene informatie en contactgegevens van de melder.
  • Gegevens over het datalek. Denk o.a. aan een samenvatting van wat zich heeft voorgedaan, waar en wanneer de inbreuk plaats vond.
  • De vermoedelijke gevolgen van het datalek.
  • Hoe waren de gegevens (technisch) beschermd .
  • Vervolgacties. Welke technische en organisatorische maatregelen zijn getroffen.
  • Zijn betrokkenen ingelicht en wat is er gemeld.

Alle gegevens verzameld voor de analyse van een incident moeten geregisteerd worden en opvraagbaar zijn voor de Autoriteit Persoonsgegevens dan wel voor de verwerkingsverantwoordelijke. Deze gegevens dienen minimaal 1 jaar bewaard te worden. Indien bepaald wordt dat het melden van het incident niet noodzakelijk is dan moeten de gegevens minimaal 3 jaren bewaard worden zodat de Autoriteit Persoonsgegevens op een later moment deze beslissing kan toetsen.

meer informatie is te vinden bij de Autoriteit Persoonsgegevens : Richtsnoeren meldplicht datalekken of bij de Europese privacytoezichthouders : guidelines gepubliceerd over de meldplicht datalekken van oktober 2017 onder de AVG.

Vorige week De verwerkersovereenkomst

 

Wil je reageren op dit artikel? Dat kan via de CRM Community. Deel jouw ervaringen op het gebied van CRM en alles wat er mee te maken heeft.