Nieuwe Europese guidelines over datalekmeldingen

De European Data Protection Board (EDPB) heeft nieuwe guidelines over datalekmeldingen vastgesteld. De guidelines helpen organisaties bij de maatregelen die ze moeten nemen bij een datalek.

In de guidelines staat een lijst met veel voorkomende soorten datalekken. Zoals ransomware-aanvallen en zoekgeraakte of gestolen apparatuur. Per categorie staat aangegeven welke maatregelen een organisatie van tevoren had moeten nemen. En welke maatregelen de organisatie na het incident moet nemen.

Per type datalek

Zo is per type datalek aangegeven hoe organisaties de risico’s van een bepaald type datalek het best kunnen beoordelen. Verder staat er wanneer een organisatie de toezichthouder op de hoogte moet brengen. En wanneer de betrokken personen.

Verplichtingen

Daarnaast benadrukt de EDPB in de guidelines kort een aantal andere verplichtingen rond de meldplicht datalekken. Bijvoorbeeld beleid en procedures hebben om datalekken snel te herkennen en aan te pakken.

Maar ook de plicht om een datalek zo snel mogelijk te melden bij de toezichthouder. Ook als het onderzoek naar de volledige impact van het datalek nog niet is afgerond.

Aanvulling

De guidelines zijn een aanvulling op de algemene richtlijnen over datalekken van de Artikel 29-werkgroep. Deze werkgroep is de voorganger van de EDPB. De EDPB heeft deze richtlijnen overgenomen.

Consultatie

De nieuwe guidelines zijn nog niet definitief. Betrokken partijen kunnen tot 2 maart 2021 commentaar leveren, via de website van de EDPB. Na de consultatie stelt de EDPB de definitieve guidelines vast.

Weergaven: 103

Opmerking

Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!

Wordt lid van BREED - over de grenzen van informatie

Reactie van Yvonne Welings op 29 Juni 2021 op 10.30

Dag Eelco,

Helaas kan ik je geen antwoord geven.

Yvonne

Reactie van Eelco Lelieveld op 29 Juni 2021 op 7.26

Dag Yvonne,

Dank je wel voor deze praktische informatie.
Als het gaat om acties na een datalek: is er iets bekend over de plicht om de informatie die gelekt is direct te vernietigen? Ik heb van onze FG begrepen dat dit zo is. Dan is mijn vervolgvraag: hoe ziet het venietigingsproces eruit? Normaal eindig je met een verklaring van vernietiging, ondertekend door in ons geval de gemeentesecretaris als beheerder van het archief. Geldt in deze situatie ook?

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden