Sinds de Wet AVG is er ook een meldplicht datalekken. De meldplicht datalekken houdt in dat organisaties direct een melding moeten maken bij Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. De datalekken moeten soms ook worden gemeld aan de betrokkenen. Dus de mensen waarvan persoonsgegevens zijn gelekt.
Wat is een datalek?
Bij een datalek gaat het om het onbedoeld geven van toegang tot persoonsgegevens of het verliezen van informatie op straat of elders. Denk hierbij aan een systeem dat wordt gehackt of een USB-stick met persoonsgegevens die op straat wordt gevonden. In ieder geval was het delen van de persoonsgegevens geen bewuste bedoeling van desbetreffende organisatie.
Als ZZP’er in de Zorg is het belangrijk dat je hier maatregelen voor neemt. Hoe ga jij veilig met persoonsgegevens om? Hoe zorg jij ervoor dat vreemden niet bij de persoonsgegevens kunnen van jouw cliënten. Het is belangrijk om hier bij de start van jouw ondernemerschap in de zorg over na te denken en maatregelen te nemen. Dit valt ook onder een stuk risicobeheersing.
Zorg dat je beschikt over een verwerkersovereenkomst en een privacyverklaring. In deze documenten kan je vastleggen, wie er toegang heeft tot gegevens, met welke reden je de gegevens bewaard en op welke wijze. In een privacyverklaring beschrijf je ook hoe je handelt als er een datalek heeft plaatsgevonden
Wanneer moet je een datalek melden bij het AP?
Stap 1: Breng de situatie goed in kaart.
Doe goed onderzoek naar wat de precieze oorzaak is. Zorg ervoor dat je weet wat er is gebeurd en hoe groot het datalek is. Achterhaal ook wat voor soort gegevens zijn gelekt en wie er allemaal toegang had tot deze gegevens.
Stap 2: Zorg voor zo min mogelijk schade.
Ga meteen na stap 1 na of je maatregelen kan nemen om het datalek te beëindigen. Met andere woorden onderneem zo snel mogelijk acties om de gevolg zoveel mogelijk te beperken.
Stap 3: Bepaal of je wel of geen melding moet maken bij AP.
Bepaal of je het datalek verplicht moet melden bij de Autoriteit Persoonsgegevens. Is dit het geval? Doe dit dan binnen 72 uur. Een datalek moet je melden bij de AP als het geen risico oplevert voor de betrokken personen waarvan de gegevens zijn gelekt. Je hoeft niet meteen alle informatie aan te leveren als je een melding maakt. Belangrijk is dat de eerste melding binnen 72 uur plaatsvindt en eventueel kan je nog een vervolgmelding doen.
Stap 4: Bepalen of je het datalek wel of niet gaan melden aan de betrokken personen.
Een datalek moet je melden aan de betrokken personen wanneer er sprake is van een hoog risico voor de rechten en vrijheden van de personen waarvan de informatie is gelekt.
Stap 5: Registreren en evalueren.
Elke datalek moet je registreren in jouw eigen datalekregister. Dit doe je ook als het nodig was om jouw melding te registeren bij het AP of de betrokkenen. Belangrijk is ook dat je gaat evalueren als je de bovenstaande stappen hebt doorlopen.
Waar zitten de knelpunten? Hoe heeft het datalek plaats kunnen vinden? Wat kan je veranderen binnen jouw organisatie om een nieuw datalek te voorkomen. Maak indien nodig een verbeterplan Zorg dat je deze verbeterplannen vastlegt.