Zo meldt u een datalek

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?

Direct een datalek melden of datalektip geven

Heeft u als organisatie vragen over het meldproces bij datalekken? Bel 088 - 1805 255.

De stappen voor het melden van een datalek

1. U meldt een datalek bij de AP.
2. Dit moet u doen binnen 72 uur na kennisname van het lek.
3. De verwerkingsverantwoordelijke moet het datalek melden.
4. U kunt uw melding eventueel aanvullen, aanpassen of intrekken.
5. U krijgt meestal geen reactie van de AP op uw melding.
6. U kunt ook verplicht zijn om de slachtoffers van het datalek te informeren.

1. Hier meldt u een datalek

U kunt een datalek alleen melden bij de AP via het Meldformulier datalekken. U kunt ons dus niet bellen om uw melding te doen. Ook kunt u uw melding niet per post of e-mail aan ons versturen.

Gaat het om een grensoverschrijdend datalek? Dit meldt u bij de privacytoezichthouder in de Europese lidstaat waar uw hoofdkantoor gevestigd.

Let op: U kunt een datalek niet melden bij de FG van uw organisatie. Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan u bijvoorbeeld adviseren over het informeren van de slachtoffers.

In de Privacyverklaring datalek melden leest u hoe de AP omgaat met uw persoonsgegevens als u een datalek meldt.

Meldplicht datalekken Telecommunicatiewet

Biedt u openbare elektronische communicatiediensten aan? Dan doet u uw datalekmelding ook bij de AP. U gebruikt hiervoor hetzelfde Meldformulier datalekken waarmee u ook de overige datalekken meldt.

Bulkmeldingen

Bent u aangesloten bij de Pensioenfederatie, het Verbond voor Verzekeraars of de Nederlandse Vereniging van Banken? Dan kunt u onder bepaalde voorwaarden datalekken bij postverzending in bulk melden.

Datalekmelding voorbereiden

Wilt u de vragen uit het meldformulier alvast inzien voordat u het formulier invult? En de benodigde informatie al verzamelen? Bekijk dan de Vragenlijst meldformulier datalekken.

De vragenlijst is er ook in het Engels: Questionnaire personal data breach notification form. 

Tip: U kunt de vragenlijst ook gebruiken om een stappenplan te maken waarmee u een (toekomstig) datalek zo tijdig en volledig mogelijk kunt melden.

Uitleg meldformulier

In het formulier datalekken vindt u uitleg over wat u moet invullen. Verder zijn er de volgende tips:

• U krijgt de vraag hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten. Bekijk voorbeelden van wat 1 gegevensrecord is.

• Wilt u uw melding bewaren voor uw eigen administratie? Sla de melding dan op of print deze. Dit doet u zodra u de melding heeft verstuurd. U krijgt dan direct een ontvangstbevestiging te zien op uw scherm. Met de knoppen onder de ontvangstbevestiging kunt u uw melding opslaan of printen. Let op: heeft u de melding eenmaal verstuurd, dan kunt u die niet meer online inzien.
• Op de ontvangstbevestiging staat ook uw meldingsnummer. Bewaart u uw melding niet, noteer dan het meldingsnummer. U heeft het meldingsnummer nodig om uw melding te kunnen aanvullen, aanpassen of intrekken. Vermeld het meldingsnummer ook bij eventuele correspondentie over uw melding met de AP.
• Ziet u na het versturen van het formulier een foutmelding of een leeg scherm? Dan is uw melding mogelijk door een technisch probleem niet verwerkt. U moet de melding dan opnieuw invullen en versturen.

2. Zo snel moet u een datalek melden

U moet een datalek binnen 72 uur na kennisname van het lek melden aan de AP. Heeft u een mogelijk datalek ontdekt? Dan hoeft u het datalek nog niet direct te melden. Dit moet pas na kennisname van het datalek.

Met ‘kennisname’ wordt bedoeld dat u er redelijk zeker van kunt zijn dat een beveiligingsincident heeft geleid tot de aantasting van de vertrouwelijkheid, integriteit en/of beschikbaarheid van persoonsgegevens. Dan kunt u verplicht zijn het datalek te melden.

Het moment van kennisname kan soms vrij duidelijk zijn. Andere keren kan het even duren om vast te stellen of bij het incident persoonsgegevens zijn geraakt. Wel moet u onmiddellijk het incident onderzoeken om vast te stellen of het een datalek is. En zo ja:

• maatregelen nemen om het datalek te beëindigen;
• het datalek melden, als dat moet.

Vervolgmelding bij complexe inbreuk

Gaat het om een complexe inbreuk, zoals een incident door ransomware of phishing ? En heeft u nog niet alle informatie? Dan moet u de eerste melding nog steeds binnen 72 uur doen. Wacht dus niet tot het onderzoek naar het datalek is afgerond. Bij nieuwe informatie kunt u dan een vervolgmelding doen.

Te laat met melden

Bent u te laat met uw datalekmelding? Dan moet u hiervoor een reden geven. De AP accepteert een late melding (na 72 uur) alleen in uitzonderlijke gevallen. Geen geldige redenen zijn bijvoorbeeld: weekend, vakantie, ziekte of drukte.

Ook ‘de FG is te laat geïnformeerd over het datalek’ is geen geldige reden. De FG kan binnen een organisatie niet verantwoordelijk zijn voor het al dan niet op tijd melden van een datalek. De verantwoordelijkheid ligt altijd bij de organisatie zelf. Het is daarom uw verantwoordelijkheid om ervoor te zorgen dat uw medewerkers incidenten op tijd melden bij de juiste persoon binnen uw organisatie.

Gevolgen niet (op tijd) melden

Wanneer u niet adequaat reageert op een datalek, kunnen de nadelige gevolgen voor de slachtoffers groter worden. Daarnaast kan het gevolgen hebben voor het imago van uw organisatie. Want wanneer u niet snel genoeg of helemaal niet in actie komt bij een datalek, loopt u het risico dat:

• U in overtreding bent. Omdat u mogelijk een datalek niet of niet op tijd meldt bij de AP en aan de slachtoffers, terwijl u dit wel wettelijk verplicht bent. De AP kan tips ontvangen van uw klanten, burgers, medewerkers etc. dat een datalek bij u heeft plaatsgevonden. Heeft u dit datalek niet gemeld, terwijl dat mogelijk wel had gemoeten? Dan kan de AP een onderzoek starten.
• Uw klanten, burgers of medewerkers ontdekken dat u hen ten onrechte niet heeft geïnformeerd over een ernstig datalek van hun persoonsgegevens. Dit kan het vertrouwen in uw organisatie schaden.

3. Wie een datalek moet melden

Volgens de Algemene verordening gegevensbescherming (AVG) moet de verwerkingsverantwoordelijke een datalek melden.

Meerdere verwerkingsverantwoordelijken

Werkt u in een samenwerkingsverband? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. Er zijn dan meerdere verwerkingsverantwoordelijken. U spreekt in dat geval onderling af wie het datalek meldt bij de AP en wie de slachtoffers informeert.

U kunt hierbij aansluiten bij de bestaande afspraken die u heeft gemaakt over de naleving van de AVG, los van de meldplicht datalekken. Welke samenwerkingspartner zorgt er bijvoorbeeld voor dat betrokkenen hun privacyrechten kunnen uitoefenen, zoals het recht op inzage en rectificatie?

Ook is het van belang dat u bekijkt hoe de gezamenlijke gegevenshuishouding eruitziet. Waar kunnen eventueel datalekken optreden, welke samenwerkingspartners moeten dat weten en hoe zorgt u dat zij dit op tijd te horen krijgen? Maak ook hier afspraken over.

Afspraak met verwerker

Maakt u als verwerkingsverantwoordelijke gebruik van een dienst van een andere organisatie om persoonsgegevens namens u te verwerken? Dan treedt deze organisatie op als uw verwerker.

Vindt een datalek plaats bij deze verwerker? En gaat het daarbij om de gegevens die de verwerker namens u verwerkt? Dan moet u in principe zelf het datalek bij de AP melden.

U kunt ook met uw verwerker afspreken dat deze namens u datalekken meldt bij de AP. U moet de verwerker dan expliciet daartoe machtigen en de afspraken schriftelijk vastleggen, bijvoorbeeld in de verwerkersovereenkomst.

Ook voor het informeren van de slachtoffers over het datalek kunt u uw verwerker machtigen. Maar de AP raadt dit niet aan. De betrokkenen hebben meestal geen directe relatie met uw verwerker. Daardoor het verwarrend zijn als een andere organisatie hen benadert.

Zo meldt u als verwerker een datalek

Als verwerker kunt u met uw opdrachtgever(s) hebben afgesproken dat u datalekken meldt bij de AP. De opdrachtgever(s) is/zijn dan de verwerkingsverantwoordelijke(n). Hier leest u welke regels daarvoor gelden.

Meldt u als verwerker een datalek namens 1 verwerkingsverantwoordelijke? Let dan hierop:

• U meldt het datalek op naam van de verwerkingsverantwoordelijke.
• U geeft onder '3.3 Andere organisatie' de naam van uw organisatie op.
• U geeft daarbij onder ‘Toelichting’ aan dat u schriftelijk gemachtigd bent om namens de verwerkingsverantwoordelijke de melding te doen.
• De gegevens van de melder zijn die van een medewerker van de verwerker, dus van uw eigen organisatie.
• De contactpersoon in de melding is een medewerker van de verwerkingsverantwoordelijke, dus een contactpersoon van uw klant.

Meldt u als verwerker een datalek namens meerdere verwerkingsverantwoordelijken? Dan gelden daarnaast nog de volgende punten:

• U doet namens elke verwerkingsverantwoordelijke een aparte datalekmelding bij de AP.
• U doet elke datalekmelding op naam van de betreffende verwerkingsverantwoordelijke.
• U geeft ook aan voor hoeveel andere verwerkingsverantwoordelijken het gemelde datalek geldt. Bijvoorbeeld met een volgnummer.

4. Datalekmelding aanvullen, aanpassen of intrekken

Wilt u na uw datalekmelding iets wijzigen in uw melding? Bijvoorbeeld omdat u aanvullende informatie wil doorgeven? Dat kan. 

U kunt uw oorspronkelijke melding aanvullen, aanpassen of intrekken via het Meldformulier datalekken. 

U heeft hiervoor het meldingsnummer nodig van uw oorspronkelijke melding. Dit nummer staat in de kopie van uw melding die u kon printen of opslaan toen u de melding deed.

Heeft u het meldingsnummer niet? Dan kunt u het nummer opvragen bij de AP door te bellen naar 070-8888 500. 

5. Dit doet de AP met uw datalekmelding

Heeft de AP uw melding van een datalek ontvangen, dan zijn dit de volgende stappen.

Reactie op uw melding

Meestal krijgt u geen reactie van de AP op uw melding van een datalek. Dat betekent dat u de melding goed heeft gedaan en dat de AP geen inhoudelijke vragen heeft. Zijn er wel vragen, dan neemt de AP binnen 2 weken contact met u op.

Dit kan de AP verder doen

Het toezicht van de AP op de meldplicht datalekken is risicogestuurd. Dat betekent dat de AP zich voornamelijk richt op die datalekken die de grootste risico’s opleveren voor de slachtoffers. 

Om datalekmeldingen in te delen naar ernst, gebruikt de AP een algoritme: Risicogestuurde prioritering datalekmeldingen. 

Dit algoritme gebruikt geen persoonsgegevens.

Hoe ernstiger de datalekmelding, hoe eerder en hoe intensiever de AP die melding behandelt. Maar uiteindelijk bekijkt de AP alle datalekmeldingen. Afhankelijk van uw specifieke situatie kan de AP vervolgens:

• U verplichten om de slachtoffers te informeren wanneer u dat ten onrechte niet heeft gedaan.
• Een onderzoek starten bij een mogelijke overtreding van de meldplicht. Bijvoorbeeld wanneer u een datalek niet heeft gemeld. Of te laat heeft gemeld.
• Een inlichtingenverzoek doen. Bijvoorbeeld om het rapport van uw onderzoek naar het datalek op te vragen.
• U bellen voor meer informatie over het datalek.
• U bellen om u extra uitleg en advies te geven.
• U een brief sturen met extra uitleg over de regels en wat u moet doen bij datalekken.
• De melding sluiten. Dit doen wij wanneer uit uw melding blijkt dat u de meldplicht datalekken goed heeft nageleefd. En u voldoende maatregelen heeft genomen om nieuwe inbreuken te voorkomen.

Uw datalekmelding kan ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de AVG. Het kan daarbij ook gaan om uw melding in combinatie met andere meldingen.

Registreren en delen van meldingen

De AP slaat uw melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar. Want het is belangrijk dat gegevens over de beveiliging van de gegevensverwerking of over gelekte persoonsgegevens vertrouwelijk blijven.

Soms kan de AP datalekmeldingen wél delen:

• Met organisaties voor wetenschappelijke of statistisch onderzoek. De AP treft daarbij maatregelen om niet onnodig persoonsgegevens te verstrekken. En om de vertrouwelijkheid van de datalekmeldingen te waarborgen.
• Met andere toezichthouders waarmee de AP een samenwerkingsovereenkomst heeft. Dit doet de AP alleen als dat noodzakelijk is.
• De AP kan aandacht besteden aan (individuele) datalekken in jaarverslagen of andere publicaties.

• Is een datalek publiekelijk bekend? Dan zal de AP een eventuele melding van het datalek bevestigen als media ernaar vragen. De AP doet dit om transparant te zijn en om te laten zien dat de meldende organisatie voldoet aan de meldplicht datalekken. Dat is belangrijk, omdat de AP zo kan controleren of de slachtoffers van het datalek voldoende in staat worden gesteld zich te beschermen tegen de gevolgen van het datalek. Omgekeerd zal de AP het in reactie op persvragen ook laten weten als een organisatie een datalek (als dit is bevestigd) niet heeft gemeld binnen de wettelijk voorgeschreven termijn van 72 uur. De AP gaat niet in op inhoudelijke details van het datalek.

6. Slachtoffers informeren

Moet u de slachtoffers ook informeren? Daarover vindt u informatie bij: Zo informeert u slachtoffers over een datalek.

Zo neemt u contact op bij vragen

Heeft u een vraag over het melden van datalekken? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten.

Let op: Dit nummer is alleen bedoeld voor organisaties die vragen hebben over het meldproces bij datalekken. Bent u een FG met een algemene, inhoudelijke vraag over datalekken? Dan kunt u contact opnemen via onze onze speciale FG-contactkanalen.