De Meldplicht Datalekken in de praktijk

Nu de Meldplicht Datalekken officieel is, komen de praktische consequenties om de hoek kijken. Veel organisaties stuiten bij de invulling op onduidelijkheden en hebben daar dus vragen over. Juristen merken dit aan hun volle inboxen. Wat zijn de tips die zij hun cliënten geven?

Organisaties die met persoonsgegevens werken, moeten de Meldplicht Datalekken integreren in hun bedrijfsvoering. Maar dat blijkt nog niet zo eenvoudig, en ze lopen tegen allerlei zaken aan die nog niet duidelijk zijn. Daarom krijgen juristen veel vragen. Sommige van hun tips komen voor alle organisaties van pas. Een heel belangrijk advies is dat het melden van een lek moet worden opgenomen in de bewerkersovereenkomst met externe partijen. Deze moeten daarmee contractueel verplicht worden een lek in hun eigen systemen te melden bij de opdrachtgever, omdat die onder alle omstandigheden verantwoordelijk blijft. Door deze verplichting op te nemen in de bewerkersovereenkomst, laat de opdrachtgever zien dat hij heeft voldaan aan de eisen in de Meldplicht.

Zorg voor beleid rond de Meldplicht

Een ander belangrijk aspect is dat er intern beleid moet komen. Bij incidenten wil de Autoriteit Persoonsgegevens graag zien wat er allemaal geregeld is. Er moet dus op papier komen welke procedure er wordt gevolgd voor het bewaren van persoonsgegevens (wat wordt er bewaard, hoe lang, hoe wordt het opgeslagen enz) en als zich een datalek voor zou doen (wanneer moet er gemeld worden (tool), wie neemt de melding op zich).