Een gegevenslek aanpakken: hoe doe je dat?

Meld het incident

Je organisatie moet een intern bestand bijhouden met alle incidenten van mogelijke lekken van gegevens.

De tool 'interne melding datalek' (onderaan deze pagina bij downloads) kan je helpen bij het verzamelen van de nodige informatie om het datalek te behandelen, en om de eventuele aangifte van een datalek te doen.

Bij een datalek moet je de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie) inlichten binnen de 72 uur na het vaststellen van het datalek. Tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Als je de meldplicht bij een datalek niet naleeft, kan dat stevige boetes opleveren.

Bij een hoog risico voor de rechten en vrijheden van de betrokkene, moet je dit ook aan de betrokkene zelf meedelen. Zo kan die de nodige voorzorgsmaatregelen nemen.

Werk aan een procedure

Naast de meldplicht is het belangrijk om zo goed mogelijk voorbereid te zijn. Je schrijft dus best een korte procedure of een stappenplan uit, voor mocht een datalek zich voordoen. Hou daarbij zeker rekening met de verplichtingen die hierboven staan, maar neem ook op welke maatregelen je zal nemen om de inbreuken aan te pakken of om eventuele nadelige gevolgen van het datalek te beperken.