Nieuwe richtlijnen voor het melden van een datalek
De European Data Protection Board (EDPB) heeft onlangs nieuwe guidelines voorgesteld voor het melden van datalekken. In deze richtlijn staan maatregelen die u kunt nemen om een datalek te voorkomen. Ook staat in de richtlijn wat u moet doen als u wordt geconfronteerd met een datalek.
De nieuwe richtlijn datalekken
De nieuwe richtlijn is een aanvulling op een eerdere richtlijn uit 2018, waarin meer in het algemeen werd aangegeven wanneer, aan wie en hoe u een datalek moet melden. Inmiddels zijn we drie jaar verder en is er binnen de EU veel praktijkervaring opgedaan met (het melden van) datalekken.
In de nieuwe guidelines geeft de EDPB dan ook praktische informatie over de meest voorkomende datalekken:
- een aanval met ransomware
- het verlies van persoonsgegevens bij andere vormen van cybercriminaliteit
- menselijke fouten
- verloren of gestolen persoonsgegevens (op papier of in apparatuur)
- verkeerd verzonden post (op papier of per e-mail)
- social engineering (zoals identiteitsfraude)
Per onderwerp geeft de EDPB verschillende praktijkvoorbeelden. Daarnaast geeft de EDPB per voorbeeld aan welke preventieve maatregelen u kunt nemen én wat u moet doen als u met een dergelijk datalek wordt geconfronteerd. Ik licht er graag één voorbeeld voor u uit: een verkeerd verzonden e-mail met persoonsgegevens.
Een verkeerd verzonden e-mail met persoonsgegevens
Dit voorbeeld komt u vast bekend voor. Het gebeurt namelijk nog wel eens. Helaas wordt het niet altijd (h)erkend als een datalek in de zin van de AVG, maar dat is het wel.
In de guidelines wordt het voorbeeld gegeven van een lijst met cursusdeelnemers, die in plaats van aan de cursuslocatie, aan een aantal oud-deelnemers wordt verzonden. In de lijst staan namen en e-mailadressen van de nieuwe deelnemers. Ook staat er bij een aantal deelnemers dat zij een lactose intolerantie hebben. Nadat de fout wordt ontdekt neemt de organisatie contact op met de ontvangers met het verzoek de e-mail te verwijderen.
De EDPB analyseert in de richtlijn hoe hoog de risico’s van deze verkeerd verzonden e-mail voor de betrokkenen zouden zijn. In dit geval zijn de risico’s laag, waardoor er geen melding hoeft te worden gedaan aan de toezichthouder en betrokkenen. Uiteraard moet dit datalek wel worden opgenomen in het register datalekken.
Daarnaast geeft de EDPB twee aanbevelingen:
- Preventief: overweeg een aanvullend controlemechanisme voor het verzenden van dergelijke e-mails.
- Achteraf: stuur de ontvanger(s) (in de Bcc) een vervolgbericht waarin u zich verontschuldigt voor de verkeerd verzonden e-mail, een instructie geeft het bericht te verwijderen en aangeeft dat de ontvangers geen recht hebben om de persoonsgegevens te gebruiken.
De guidelines zijn nog niet definitief
Zoals aangegeven gaat het om een voorstel ter consultatie. De nieuwe richtlijn is dus nog definitief. Tot 2 maart 2021 is het mogelijk om commentaar te leveren, daarna zullen de definitieve guidelines worden vastgesteld. We zullen u hier uiteraard van op de hoogte houden.
Vragen?
Heeft u hier vragen over? Of bent u geconfronteerd met een datalek binnen uw organisatie? Neem dan gerust contact op met een van onze advocaten privacyrecht. Dat kan door te bellen met 072 514 46 66. U kunt ook het contactformulier invullen, dan ontvangt u binnen 24 uur antwoord.