Calamiteitenplan datalekken (EN)

Let op! Dit is de Engelse variant. Klik hier voor de Nederlandse variant.

Waarom een calamiteitenplan voor datalekken?

In de huidige privacywetgeving (Algemene Verordening Gegevensbescherming, AVG) is een meldplicht voor 'datalekken' opgenomen. Deze meldplicht verplicht organisaties om datalekken te melden bij de toezichthouder (de Autoriteit Persoonsgegevens) en in sommige gevallen ook bij de personen op wie de gelekte persoonsgegevens betrekking hebben (zoals leden, abonnees of medewerkers).

Het overtreden van de meldplicht kan behoorlijk in de papieren lopen voor uw organisatie. Bij overtreding kan de Autoriteit Persoonsgegevens een boete opleggen. Het is daarom belangrijk om een algemeen bewustzijn in uw organisatie te creëren, maar - nog belangrijker – ook om alle werknemers te informeren over wat een beveiligingsincident is en wanneer ze gemeld moet worden als datalek.

Het is belangrijk dat de meldingsprocedure zo efficiënt mogelijk loopt en uw personeel hiervan op de hoogte is. Datalekken moeten namelijk binnen 72 uur na hun ontdekking al worden gemeld bij de Autoriteit Persoonsgegevens! Het maken van een intern calamiteitenplan voor datalekken is daarom essentieel voor uw organisatie.

Wat regelt dit calamiteitenplan?

In het calamiteitenplan wordt omschreven op welke manier uw organisatie omgaat met eventuele datalekken. Hierin is ook vastgelegd hoe en naar wie de meldingen intern doorgezet dienen te worden, wie verantwoordelijk is voor welke melding en hoe en in welke vorm de melding aan de toezichthouder en eventueel ook aan de betrokkenen wordt gedaan. Middels de vragenlijst bepaalt u welke personen voor wat verantwoordelijk zijn.