Datalek: voorkomen is beter dan genezen

Datalek: voorkomen is beter dan genezen

Datalek: voorkomen is beter dan genezen 150 150 Capra Advocaten

In 2020 berichtten wij al dat de Autoriteit Persoonsgegevens (AP) een standpunt had ingenomen over het toezicht op de handhaving van de privacyregels tijdens corona. Ook tijdens crisistijd dient de privacy te worden gewaarborgd, aldus de AP.

Dat de AP ook de daad bij het woord voegt en uitvoering geeft aan de toezichthoudende rol, blijkt uit een krantenartikel in december 2020, waarin stond dat het AP (alsnog) een onderzoek zou starten naar de beveiliging van medische dossiers bij een ziekenhuis. Aanleiding voor dat onderzoek was dat was geconstateerd dat er eerder sprake zou zijn geweest van datalekken, zonder dat het ziekenhuis dit door had.

Aanleiding om eens goed stil te staan bij dit onderwerp. Wanneer is er sprake van een datalek? En hoe dient een organisatie te handelen bij een datalek?

Het begrip ‘datalek’ is niet opgenomen in de AVG. Wel kent de AVG het begrip ‘inbreuk in verband met persoonsgegevens’: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. De AP omschrijft een datalek als een ongeoorloofde of onbedoelde toegang tot persoonsgegevens, maar ook als het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens.

Van een datalek kan in de praktijk relatief snel sprake zijn. Denk aan de collega die een USB-stick met vertrouwelijke gegevens kwijtraakt of de collega van de andere afdeling die uit nieuwsgierigheid een (patiënten)dossier bekijkt hoewel hij dat (vanwege zijn functie) helemaal niet hoeft te raadplegen. Of de medewerker die per abuis een mailbericht stuurt aan de verkeerde contactpersoon.

Artikel 33 AVG bepaalt dat de verwerkingsverantwoordelijke een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit moet melden. Moet ieder datalek worden gemeld? Nee. Of een datalek gemeld moet worden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Een datalek moet in ieder geval altijd geregistreerd worden in een datalekregister. Betrokkenen hoeven enkel te worden geïnformeerd als een datalek waarschijnlijk een hoog risico van inbreuk op hun rechten en vrijheden oplevert. De AP kan boetes opleggen indien een datalek ten onrechte niet wordt gemeld aan de AP of aan de betrokkene.

Een organisatie dient ook maatregelen te nemen ter voorkoming van een datalek. Het gaat niet enkel om het nemen van technische maatregelen. Denk ook aan het realiseren van bewustzijn- en wording bij het personeel. Het is niet enkel de functionaris gegevensbescherming (FG) die zich met privacy dient bezig te houden. Wijs de medewerker die zijn werkplek onbeheerd achterlaat op het risico van een datalek.

Is uw datalekregister (voldoende) op orde? En zijn uw medewerkers voldoende op de hoogte van de regels die de AVG stelt aan verwerking van persoonsgegevens? En is de tijdige melding van een datalek goed geprotocolleerd? Voorkomen is beter dan genezen.

Onze advocaten kunnen ondersteuning bieden bij het opstellen van een beleid om het risico op een datalek zoveel mogelijk te voorkomen.

Heeft u vragen?

Heeft u vragen of komen bij u andere vragen op, dan kunt altijd contact met een van de advocaten van Capra Advocaten opnemen.

Contact over dit onderwerp

Sanne Dassen Capra Advocaten - Maastricht

Sanne Dassen

Advocaat
Vestiging:
Maastricht
Sector:
Overheid, Zorg
Expertteam:
Arbeidsrecht, Ambtenarenrecht
Telefoon:
043-7 600 600
Mobiel:
06 18 50 10 58

Gerelateerd

Een melding grensoverschrijdend gedrag. En dan? 150 150 Capra Advocaten

Een melding grensoverschrijdend gedrag. En dan?

Artikel

lees meer
Schending privacy: werkgever moet betalen 150 150 Capra Advocaten

Schending privacy: werkgever moet betalen

Artikel

lees meer
De Wet open overheid in de zorgsector 150 150 Capra Advocaten

De Wet open overheid in de zorgsector

Artikel

lees meer
Schending van privacy – reden voor ontslag? 150 150 Capra Advocaten

Schending van privacy – reden voor ontslag?

Artikel

lees meer

Blijf op de hoogte

Blijf op de hoogte over ontwikkelingen, interessante jurisprudentie en wetswijzigingen op het gebied van arbeidsverhoudingen binnen de sectoren overheid, onderwijs en zorg. Selecteer welke nieuwsbrieven u wilt ontvangen en wij houden u op de hoogte.

Vestiging Den Haag
Laan Copes van Cattenburch 56
2585 GC Den Haag
Telefoon 070-364 81 02
Fax 070-361 78 47
denhaag@capra.nl

Vestiging ‘s-Hertogenbosch
Bastion Vught 1
5211 CZ ‘s-Hertogenbosch
Telefoon 073-613 13 45
Fax 073-614 82 16
s-hertogenbosch@capra.nl

Vestiging Zwolle
Terborchstraat 12
8011 GG Zwolle
Telefoon 038-423 54 14
Fax 038-423 47 84
zwolle@capra.nl

Vestiging Maastricht
Spoorweglaan 7
6221 BS Maastricht
Telefoon 043-7 600 600
Fax 043-7 600 609
maastricht@capra.nl