Deze website maakt gebruik van cookies

Wij gebruiken technische, functionele cookies en analytische cookies. De cookies die wij gebruiken zijn noodzakelijk voor de technische werking van de website en uw gebruiksgemak. Ze zorgen ervoor dat de website naar behoren werkt en onthouden bijvoorbeeld uw voorkeursinstellingen.
Noodzakelijke cookies helpen een website bruikbaarder te maken, door basisfuncties als paginanavigatie en toegang tot beveiligde gedeelten van de website mogelijk te maken. Zonder deze cookies kan de website niet naar behoren werken.
NaamAanbiederDoelVervaldatumType
CookieConsentpminternet.nlSlaat de cookiestatus van de gebruiker op voor het huidige domein1 jaarHTTP
fe_typo_userpminternet.nlHoudt gebruikersstatussen over paginabezoeken bij.SessionHTTP
pmisportofolio_categorypminternet.nlNiet geclassificeerdSessionHTTP
pmisportofolio_detailpminternet.nlNiet geclassificeerdSessionHTTP
Overige cookies zijn cookies die niet noodzakelijk zijn voor een goede werking van de site.
Wij gebruiken geen cookies van dit type
Statistische cookies helpen eigenaren van websites begrijpen hoe bezoekers hun website gebruiken, door anoniem gegevens te verzamelen en te rapporteren.
NaamAanbiederDoelVervaldatumType
_gapminternet.nlRegistreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.2 jaarHTTP
_gatpminternet.nlGebruikt door Google Analytics om verzoeksnelheid te vertragenSessionHTTP
_gidpminternet.nlRegistreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.SessionHTTP
dis-141573aim4media.comNiet geclassificeerd29 dagenHTTP
Marketingcookies worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Hun doel is advertenties weergeven die zijn toegesneden op en relevant zijn voor de individuele gebruiker. Deze advertenties worden zo waardevoller voor uitgevers en externe adverteerders.
NaamAanbiederDoelVervaldatumType
collectgoogle-analytics.comGebruikt om gegevens naar Google Analytics te verzenden over het apparaat en het gedrag van de bezoeker. Traceert de bezoeker op verschillende apparaten en marketingkanalen.SessionPixel
r/collectdoubleclick.netNiet geclassificeerdSessionPixel
Niet-geclassificeerde cookies zijn cookies die we nog aan het classificeren zijn, samen met de aanbieders van afzonderlijke cookies.
Wij gebruiken geen cookies van dit type
Cookies zijn kleine tekstbestanden die door websites kunnen worden gebruikt om gebruikerservaringen efficiënter te maken.

Volgens de wet mogen wij cookies op uw apparaat opslaan als ze strikt noodzakelijk zijn voor het gebruik van de site. Voor alle andere soorten cookies hebben we uw toestemming nodig.

Deze website maakt gebruik van verschillende soorten cookies. Sommige cookies worden geplaatst door diensten van derden die op onze pagina's worden weergegeven.
Cookieverklaring laatst bijgewerkt op 16-5-2018 door Cookiebot

AVG: omgaan met incidenten en datalekken

De AVG, die per 25 mei 2018 is ingegaan, schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de Autoriteit Persoonsgegevens (AP). Wat betekent dit voor uw bedrijf? Waaraan moet u precies voldoen?

In sommige situaties dient u ook de betrokkene(n) bij het datalek te informeren. Deze verplichting is niet nieuw in de AVG en was ook al voorgeschreven in de Wet Bescherming Persoonsgegevens (WBP).

Wat is een datalek?

Een datalek wordt in de AVG (artikel 4) omschreven als ’een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.

Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én indien persoonsgegevens verloren zijn gegaan dan wel onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is.

Datalek snel melden

Indien een datalek heeft plaatsgevonden, meldt u deze zonder onredelijke vertraging, maar wel uiterlijk 72 uur nadat u er kennis van heeft genomen. Indien de melding aan de AP niet binnen 72 uur plaatsvindt moet u motiveren waardoor de vertraging is opgetreden. Een (sub)verwerker, zoals een leverancier, moet u, omdat u verantwoordelijke bent, onverwijld te informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid heeft tijdig de AP te informeren. Normaal gesproken maakt u hierover afspraken met uw verwerkers in een zogenaamde verwerkersovereenkomst. Het is dan ook raadzaam om met uw verwerker af te spreken dat deze uiterlijk binnen 24 uur aan u meldt, zodat u nog voldoende tijd heeft om te melden bij de AP.

Niet melden

Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In andere bewoordingen houdt dit in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de kans hierop.

Persoonsgegevens van gevoelige aard en factoren met kans op ernstige nadelige gevolgen

Persoonsgegevens van gevoelige aard zijn:

  • bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, , ras, politieke opvattingen, , gegevens over gezondheid;
  • BSN-nummer;
  • gegevens die kunnen leiden tot stigmatisering of uitsluiting;
  • gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim.

Factoren met (kans op) ernstige nadelige gevolgen:

  • omvangrijke verwerkingen of een keten van gegevensverwerking;
  • ingrijpende beslissingen die worden genomen met de gegevens;
  • kwetsbare groepen zoals kinderen en gehandicapten.

Hoe meld je een datalek?

Organisaties die een datalek moeten melden, doen dit bij de AP via het digitale meldingsformulier op de website van de AP. U kunt met dit formulier ook een voorlopige melding doen en deze later aanvullen of intrekken.

Welke informatie moet u verstrekken?

De volgende informatie moet u verstrekken:

  • de aard van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen en het aantal betrokkenen;
  • de naam van de persoon met wie contact kan worden opgenomen voor meer informatie;
  • de (waarschijnlijke) gevolgen van het datalek;
  • de maatregelen die u heeft voorgesteld en/of genomen om het datalek aan te pakken.

Documentatieplicht

Voor alle datalekken (ongeacht of u deze heeft gemeld) geldt dat u deze moet vastleggen in bijvoorbeeld een incidentenregister, waarbij u bovenstaande gegevens vastlegt. Daarbij is het raadzaam vast te leggen wat het meldingsnummer van het datalek is dan wel de reden waarom is besloten af te zien van melding.

Melding aan betrokkene

Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (ofwel ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene), dient u de betrokkene(n) onverwijld te informeren. De mededeling aan de betrokkene bevat een toelichting, in duidelijke en eenvoudige taal, op wat er is gebeurd, op de acties en maatregelen die zijn ondernomen, wat het betekent voor de betrokkene en het advies dat u geeft wat betrokkene het beste kan doen.

Let op

In de volgende situaties dient altijd gemeld te worden aan betrokkene(n): het betreft lekken van persoonsgegevens van gevoelige aard, bijvoorbeeld BSN-nummers of financiële gegevens, de persoonsgegevens zijn blootgesteld aan vernietiging of aantasting of de versleuteling van de persoonsgegevens is niet adequaat of niet volledig. 

Niet melden aan betrokkene

De mededeling aan de betrokkene(n) is niet vereist wanneer een van de volgende voorwaarden is vervuld:

  • u heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling van gegevens;
  • u heeft achteraf maatregelen genomen om ervoor te zorgen dat het bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
  • de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Meer informatie? Neem contact op.
Terug naar nieuwsoverzicht