De rol van de FG bij een datalekmelding

Een Functionaris Gegevensbescherming is betrokken bij alle fases van een datalek: van signalering tot evaluatie.

Signalering en beoordeling

Zodra een datalek wordt vermoed of gemeld binnen de organisatie, helpt de FG bij het beoordelen of er sprake is van een meldplichtig datalek. De FG kijkt mee naar:

  • Welke persoonsgegevens zijn betrokken?
  • Hoe ernstig is het risico voor betrokkenen?
  • Zijn er beveiligingsmaatregelen genomen (zoals encryptie)?
  • Moet het datalek gemeld worden bij de AP of aan betrokkenen?

 

Advisering over melding

De FG adviseert de organisatie over de te nemen stappen. Als de organisatie besluit te melden, ondersteunt de FG bij het invullen van het meldformulier van de Autoriteit Persoonsgegevens en bij het opstellen van een duidelijke communicatie naar betrokkenen.

 

Contactpersoon voor de Autoriteit Persoonsgegevens

De FG fungeert als eerste aanspreekpunt voor de AP. Als er vragen zijn over het datalek of over de genomen maatregelen, verloopt dit contact via de FG.

 

Nazorg en evaluatie

Na de melding adviseert de FG over verbetermaatregelen, zoals technische aanpassingen, extra bewustwordingstrainingen of proceswijzigingen. Ook ziet de FG toe op het bijhouden van het interne datalekregister, want dat is verplicht volgens de AVG.

 

Het verplichte datalekregister

Elke organisatie is volgens de AVG verplicht om een intern datalekregister bij te houden. In dit register moeten alle datalekken worden vastgelegd, dus ook de datalekken die niet meldingsplichtig zijn bij de Autoriteit Persoonsgegevens.

Het register bevat onder andere:

  • de aard van het datalek;
  • de datum en wijze van ontdekking;
  • welke gegevens en hoeveel personen zijn getroffen;
  • de genomen maatregelen;
  • en de reden waarom wel of niet is gemeld bij de AP.

 

In de praktijk beheert de Privacy Officer (of een andere aangewezen medewerker) dit register en zorgt ervoor dat alle incidenten tijdig en volledig worden vastgelegd. De Functionaris Gegevensbescherming houdt toezicht op de juiste toepassing van dit proces, controleert de volledigheid en beoordeelt of de organisatie op basis van het register structurele verbeteringen doorvoert.

Het datalekregister helpt organisaties om patronen te herkennen, risico’s te verkleinen en aan te tonen dat zij voldoen aan de AVG-verantwoordingsplicht. Bovendien is het een nuttig instrument voor de FG om periodiek te rapporteren aan het management over trends en verbeterpunten.

 

Voorbeeld uit de praktijk

Een medewerker van een gemeente stuurt per ongeluk een Excel-bestand met persoonsgegevens van burgers naar de verkeerde ontvanger. De FG wordt direct op de hoogte gebracht en helpt bij de beoordeling: het bestand bevat namen, adressen en BSN-nummers. De FG adviseert het management om het datalek te melden bij de Autoriteit Persoonsgegevens en de betrokken burgers te informeren. Daarna begeleidt de FG de evaluatie, zorgt dat het incident wordt opgenomen in het datalekregister en stelt verbetermaatregelen voor, zoals extra controles bij e-mailverzending en aanvullende privacytrainingen.

 

Opleiding Functionaris gegevensbescherming

Wil jij leren hoe je als FG professioneel optreedt bij datalekken? De klassikale of online opleiding Functionaris Gegevensbescherming van AVG-trainingen biedt je alle kennis en praktische tools om toezicht te houden op privacy en informatiebeveiliging binnen je organisatie. Tijdens de opleiding leer je onder andere hoe je:

  • datalekken beoordeelt en documenteert;
  • meldingen bij de Autoriteit Persoonsgegevens voorbereidt;
  • adviseert over preventieve maatregelen;
  • en effectief communiceert met directie, ICT en betrokkenen.

 

Met deze opleiding ontwikkel je de vaardigheden die nodig zijn om rust, structuur en vertrouwen te brengen in stressvolle situaties zoals een datalek. Vraag bij je werkgever naar de mogelijkheden om je opleidingsbudget hiervoor te gebruiken.

 

Tot slot

De Functionaris Gegevensbescherming is niet degene die de uiteindelijke verantwoordelijkheid draagt voor een datalekmelding, maar hij/zij speelt wél een sleutelrol in het proces. Dankzij zijn of haar deskundigheid zorgt de FG ervoor dat meldingen correct worden afgehandeld, risico’s worden beperkt en de organisatie leert van het incident.

Een goed geïnformeerde FG maakt het verschil tussen paniek en professioneel handelen.

Veelgestelde vragen

Wie is verantwoordelijk voor het melden van een datalek?

De organisatie of verwerkingsverantwoordelijke is verantwoordelijk voor de melding. De FG adviseert en begeleidt het proces, maar doet de melding niet namens de organisatie.

Binnen welke termijn moet een datalek worden gemeld?

Een datalek dat meldingsplichtig is, moet binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens.

Moet elk datalek gemeld worden?

Nee, alleen datalekken die een risico vormen voor de rechten en vrijheden van betrokkenen. De FG helpt bij de beoordeling of dit het geval is.

Wat doet de FG na een datalekmelding?

De FG evalueert het incident, adviseert over verbetermaatregelen en ziet toe op een goed bijgehouden datalekregister.

Wat is het doel van een datalekregister?

Het datalekregister biedt inzicht in alle incidenten, helpt risico’s te verminderen en toont aan dat de organisatie voldoet aan de AVG-verantwoordingsplicht.

Deel dit artikel via:

Gerelateerde artikelen

Menu