Aanpak van een gegevenslek

Je moet als organisatie een intern bestand bijhouden met alle incidenten van mogelijke lekken van gegevens.

Bij een datalek moet je de Gegevensbeschermingsautoriteit, de vroegere Privacycommissie, (Drukpersstraat 35, 1000 Brussel, www.gegevensbeschermingsautoriteit.be) inlichten binnen de 72 uur na vaststellen van het datalek, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Niet naleven van de meldplicht bij een datalek kan stevige boetes met zich meebrengen.

Bij een hoog risico voor de rechten en vrijheden van de betrokkene, moet dit ook aan de betrokkene zelf meegedeeld worden, zodat de nodige voorzorgsmaatregelen genomen kunnen worden.

De tool “interne melding datalek” kan helpen bij het verzamelen van de nodige informatie om het datalek te behandelen als sportorganisatie, en kan helpen om de eventuele aangifte van een datalek te doen.

Naast de meldingsplicht, is het belangrijk om zo goed mogelijk voorbereid te zijn indien een datalek zich zou voordoen. Schrijf dus best een korte procedure of een stappenplan uit. Hou daarbij zeker rekening met de verplichtingen die hierboven beschreven staan, maar neem daarin ook op welke maatregelen je zal nemen om de inbreuken aan te pakken of om eventuele nadelige gevolgen van het datalek te beperken.