fbpx

Datalek: hoe snel moet dat gemeld worden bij de AP

Een datalek moet binnen 72 uur na ontdekking van het datalek gemeld worden aan de Autoriteit Persoonsgegevens. Wanneer u dat niet doet, bent u waarschijnlijk in overtreding.

Wanneer een onderwijsinstelling te laat is met het melden van een datalek, moet ze dit goed motiveren. Autoriteit Persoonsgegevens accepteert alleen in uitzonderlijke gevallen een vertraagde melding na 72 uur.

Motivatie

Motivaties als een vakantie, ziekte, drukte, weekend en dergelijke zijn onacceptabel als excuus. Ook de motivatie ‘de FG is te laat geïnformeerd over een datalek’ is geen geldig excuus.

Verantwoordelijkheid

De verwerkingsverantwoordelijke van de onderwijsinstelling is namelijk verantwoordelijk om ervoor te zorgen dat beveiligingsincidenten op tijd worden gemeld bij de juiste persoon binnen zijn organisatie. Het is de taak van de verwerkingsverantwoordelijke om een melding bij de AP zo goed mogelijk te laten verlopen.

Vervolgmelding

Bij een complexe inbreuk, moet de onderwijsinstelling de eerste melding nog steeds binnen 72 uur doen. Bij nieuwe informatie kan de vervolgmelding gedaan worden.

Kom in actie

Elke organisatie heeft een meldplicht, dus ook een onderwijsinstelling. Is er een vermoeden van een datalek bij uw school? Kom dan snel in actie en voorkom grotere problemen. Houdt u er rekening mee dat uw school een boete kan krijgen als u een datalek ten onrechte niet meldt bij de AP.

Bron: Autoriteit Persoonsgegevens

Heeft u vragen over de AVG en het onderwijs? Neem dan vrijblijvend contact met ons op. Wij zijn u graag van dienst.