Maak in 5 minuten jouw Datalekprotocol

Dit document kost € 79 of 40 credits.
Bespaar met een abonnement.

Wat is een datalekprotocol?

Het verwerken van persoonsgegevens is vaak een onmisbaar deel van het voeren van een bedrijf. Wanneer er bijvoorbeeld een e-mailadres wordt opgeslagen om correspondentie sneller te laten verlopen, is er al sprake van het verwerken van persoonsgegevens. Een ander voorbeeld is het verwerken van contact- en adresgegevens om een factuur op te stellen. Persoonsgegevens bestaan dus, onder andere, uit iemands naam, adres, of andere contactgegevens. Een combinatie van verschillende persoonsgegevens kan er vaak toe leiden dat de gegevens herleidbaar zijn tot een persoon. Het is daarom van belang om persoonsgegevens goed te beschermen.

Wat is een datalek?


Desondanks goede bescherming kan het gebeuren dat een datalek plaatsvindt. Er is sprake van een datalek wanneer er ongeoorloofd of onbevoegd toegang tot persoonsgegevens wordt verstrekt zonder dat dit de bedoeling is. Zo kan er bijvoorbeeld sprake zijn van een datalek wanneer een medewerker zijn of haar werklaptop verliest of wanneer er een e-mail wordt verstuurd naar de verkeerde personen. Het nemen van voorzorgsmaatregelen is verstandig, maar het uitsluiten van een datalek is nooit volledig mogelijk. Zo kan je ook op door toedoen van een buitenstaander slachtoffer worden van een datalek door enige vorm van cybercrime, zoals ransomware. 

Heb ik een datalekprotocol nodig?


Ieder bedrijf dat persoonsgegevens verwerkt, is kwetsbaar voor een inbreuk op de privacy van deze bescherming van persoonsgegevens. Er bestaat een meldplicht van datalekken onder de Algemene Verordening Gegevensbescherming (AVG), waarbij een datalek binnen 72 uur vanaf de ontdekking van een inbreuk aan de Autoriteit Persoonsgegevens gemeld moet worden. Om dit te kunnen doen is het opstellen van een datalekprotocol, dat zorgt voor het snel en efficiënt afhandelen van datalekken, heel belangrijk. Als jouw bedrijf niet voldoet aan de meldplicht van datalekken, dan is de Autoriteit Persoonsgegevens bevoegd jouw bedrijf een boete te geven.

Wat regel je in een datalekprotocol?


Het is essentieel om een datalekprotocol in werking te hebben, dat onderdeel is van het interne privacybeleid van de organisatie. In een datalekprotocol beschrijf je de stappen die doorlopen moeten worden in het geval dat een inbreuk wordt gemaakt op de beveiliging en privacy van de persoonsgegevens verwerkt door jouw onderneming. De procedure die wordt beschreven in een datalekprotocol helpt jouw bedrijf om snel en efficiënt te reageren bij een datalek om de privacy, rechten en vrijheden van natuurlijke personen (hierna: betrokkenen) te beschermen. Dankzij het datalekprotocol weet elke medewerker binnen jouw bedrijf wat een datalek is, wanneer een datalek heeft plaatsgevonden, evenals hoe zij een datalek moeten melden en bij wie (meestal ‘de Privacy Officer’ of ‘Privacy Verantwoordelijke’). 
 
Daarnaast is er voor ernstige datalekken een meldplicht bij de Autoriteit Persoonsgegevens en moet in sommige gevallen het datalek worden gemeld aan de betrokkenen (de personen waarvan gegevens zijn gelekt). Niet elk datalek moet worden gemeld. Het vereiste daarvoor is dat de inbreuk een hoog risico vormt voor de rechten en vrijheden van de betrokkene(n). Om te bepalen of een datalek een hoog risico oplevert, moet onder andere bekeken worden of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkene(n).
 
Het is bij het maken van het datalekprotocol ook mogelijk om een bijlage toe te voegen: een datalekprotocol tabel. In deze tabel staat stap voor stap opgenomen hoe er moet worden gehandeld bij iedere vorm van een datalek. Zo is het meteen duidelijk wanneer een datalek wordt gezien als ernstig en het dus moet worden gemeld bij de Autoriteit Persoonsgegevens. Ook is het op grond van de protocol zichtbaar wanneer een datalek moet worden gemeld bij de betrokkene(n). 

Klaar om je Datalekprotocol te maken?

In een paar simpele stappen is je document gereed voor gebruik.