Richtlijnen datalekmeldingen
News 22 januari 2021

Nieuwe Europese guidelines over datalekmeldingen

Source: Autoriteit Persoonsgegevens

De European Data Protection Board (EDPB), de Autoriteit Persoonsgegevens op Europees niveau, heeft nieuwe guidelines over datalekmeldingen vastgesteld. De guidelines helpen organisaties bij de maatregelen die ze moeten nemen bij een datalek, zo valt op de website van de AP te lezen.

De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep, zoals terug te vinden op de website van de AP (PDF). Deze werkgroep is de voorganger van de EDPB. De EDPB heeft deze richtlijnen overgenomen.

Guidelines: aanvullend en voorlopig

In de guidelines staat een lijst met veel voorkomende soorten datalekken. Zoals ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.

Zo is per type datalek aangegeven hoe organisaties de risico’s van een bepaald type datalek het best kunnen beoordelen. Verder staat er wanneer een organisatie de toezichthouder op de hoogte moet brengen, en wanneer de betrokken personen. Daarnaast benadrukt de EDPB kort een aantal andere verplichtingen rond de meldplicht datalekken. Bijvoorbeeld beleid en procedures hebben om datalekken snel te herkennen en aan te pakken. Maar ook de plicht om een datalek zo snel mogelijk te melden bij de toezichthouder. Ook als het onderzoek naar de volledige impact van het datalek nog niet is afgerond.

De nieuwe guidelines zijn nog niet definitief. Betrokken partijen kunnen tot 2 maart 2021 commentaar leveren, via de website van de EDPB. Na deze consultatie stelt de EDPB de definitieve guidelines vast.