Als zzp’er of mkb’er is het beheren van je bedrijfsuitgaven superbelangrijk voor het behalen van…
Wat is nou precies een datalek?
PRIVACYWETGEVING
Envelop adviseur kwijt, is dat datalek?
U laat ergens de envelop voor uw adviseur liggen, daar zaten ook facturen in. Is dat nou een datalek waar iedereen het over heeft? Wat dan te doen?
Eerst, wat is een datalek? Bij een datalek gaat het om toegang tot, vernietiging, wijziging of het vrijkomen van persoonsgegevens van uw bedrijf, zonder dat u dat heeft bedoeld. Een datalek moet in sommige gevallen gemeld worden aan de Autoriteit Persoonsgegevens (AP) en eventueel aan de betrokken persoon of personen.
De AVG en datalek. De AVG is van toepassing op geautomatiseerde of handmatige verwerkingen die bedoeld zijn om op te slaan in een bestand. Strikt genomen is de AVG dus niet van toepassing op een geprinte lijst met klantgegevens, maar daar denkt niet iedereen hetzelfde over. Let op. Verliest u dezelfde lijst digitaal? Dan is dat wél een datalek. Denk aan een gestolen laptop, verloren usb-stick of mobiel en een hack.
Wat te doen? Een datalek moet u beoordelen naar de aard van het lek (bijzondere/reguliere gegevens), omvang en de (mogelijke) gevolgen ervan. Er geldt geen meldplicht aan de AP of betrokkene(n) als het datalek waarschijnlijk geen hoog risico kent. Het kan echter wel zijn dat u een datalek wel moet melden aan de AP en niet aan de betrokkene(n).
- Bepaal of er sprake is van een datalek. Gebruik de toelichting op de site van de AP ( https://bit.ly/2siSBAM ).
- Bepaal of u het datalekmoet melden aan de AP en aan de betrokkene(n). Melden doet u bij het meldloket datalekken ( https://bit.ly/1IQJGvm ) en eventueel rechtstreeks aan de betrokkene(n).
- Leg het (mogelijke) datalekvast in een register (feiten, gevolgen en maatregelen).
Moet u alles melden? Het onterecht niet melden van een datalek kan leiden tot fikse boetes. Het is echter niet nodig om ieder voorval te melden. Vooral bij de kleinere ondernemingen waar de omvang van het lek niet groot is. Tip. Het is daarom verstandig om ieder (mogelijk) datalek vast te leggen in een register en daarbij, aan de hand van de richtsnoeren van de AP, schriftelijk vast te leggen waarom er besloten is om al dan niet te melden. Overleg dit register bij een evt. controle van de AP.
Een verloren papieren dossier van een kleinere onderneming is meestal geen datalek. Vermeld een lek in een register en leg vast waarom u evt. niet meldt bij de AP.