Nieuw meldformulier datalekken: wat is er veranderd?

7 juni 2021, laatst geüpdatet 11 september 2024
De Autoriteit Persoonsgegevens (AP) heeft het meldformulier voor datalekken vernieuwd. Het nieuwe meldformulier maakt het eenvoudiger om een datalek bij de AP te melden.
Sven Wakker
Sven Wakker
Advocaat - Senior
In dit artikel

De Autoriteit Persoonsgegevens (AP) heeft het meldformulier voor datalekken vernieuwd. Het doel van deze vernieuwing is om het formulier gebruiksvriendelijker te maken. In dit blog zet ik de wijzigingen ten opzichte van het vorige meldformulier op een rij. Daarbij worden (A) inhoudelijke wijzigingen en (B) functionele wijzigingen onderscheiden.

A. Inhoudelijke wijzigingen

Inhoudelijk is het formulier niet veel veranderd, behoudens een aantal nieuwe vragen dat gesteld wordt:

  1. Wijze van ontdekking inbreuk: Gebruikers van het meldformulier moesten al aangeven wanneer de inbreuk is ontdekt, maar thans moet ook worden aangegeven hoe de inbreuk is ontdekt.
  2. Aard van het incident: Wanneer men vervolgens moet beschrijven wat de aard is van het incident waaruit het datalek is ontstaan, kan de gebruiker uit meer opties kiezen dan voorheen. Zo kan nu bijvoorbeeld worden aangegeven dat persoonsgegevens abusievelijk in de ‘BCC’ van een e-mail zijn geplaatst.
  3. Toelichting risico-inschatting: Een laatste inhoudelijke wijziging is te vinden bij de risico-inschatting. De melder moest altijd al aangeven hoe ernstig hij de mogelijke gevolgen voor betrokkenen acht, maar deze inschatting moet hij nu ook toelichten.

B. Functionele wijzigingen

De grootste veranderingen zijn te vinden wanneer men kijkt naar de functionele wijzigingen:

  1. Gebruiksvriendelijkheid verbeterd: De AP is geslaagd in haar streven om het meldformulier gebruiksvriendelijker te maken. Afhankelijk van het antwoord op de vorige vraag bepaalt het formulier welke vervolgvragen worden gesteld. Zo hoeft de melder nooit irrelevante vragen te beantwoorden.
  2. Tussentijds opslaan: Het is mogelijk om het meldformulier tussentijds op te slaan door de “sessie te bewaren”. Vervolgens wordt een .cas-bestand gegenereerd en gedownload. Door middel van de functie “laad sessie” op de introductiepagina van het meldformulier kan de gebruiker dit gedownloade .cas-bestand weer uploaden, en zo weer verder gaan waar hij gebleven was. Door deze mogelijkheid kan voorkomen worden dat men vragen beantwoordt waarvan het antwoord op dat moment nog niet bekend is (en dus een onjuiste melding voorkomen worden). Tegelijkertijd wordt een opgeslagen sessie niet naar de AP verzonden. Het vervangt daarmee dus niet (!) de zgn. pro-forma melding.
  3. Aanvullen pro-forma melding vergemakkelijkt: het doen van een vervolgmelding of aanvulling van een gedane pro-forma melding is eenvoudiger geworden. De melding kan nu opgezocht worden via het zoeken op een meldingsnummer, waardoor het niet meer nodig is het hele meldformulier opnieuw in te vullen.
  4. Doen van “bulk-meldingen” vergemakkelijkt: Het doen van meerdere meldingen is vergemakkelijkt: er kan een sjabloon worden gemaakt voor veel voorkomende datalekken of een datalek dat zich in een korte tijd vaak herhaalt. Ook kunnen gelijksoortige inbreuken kunnen tegelijkertijd worden aangemeld. Uiteraard mits de AP daarvoor toestemming heeft gegeven, zoals bijvoorbeeld bij grootschalige postverzending door banken, verzekeraars en pensioenfondsen.

Conclusie

Het melden van een datalek is gemakkelijker geworden. Met name zorgt de mogelijkheid tussentijds op te slaan ervoor dat een datalekmelding zorgvuldig gedaan kan worden. Iets dat in de praktijk met open armen zal worden ontvangen. Dat het tijdig doen van een juiste melding bepaald geen sinecure is, volgt ook uit de recente boete aan Booking.

Een andere veelgevraagde wijziging, die van uitbreiding van de beperkte tekstvakken voor toelichting (maximaal 2500 tekens), is helaas niet doorgevoerd.

Eerste hulp bij datalekken

Op onze website vindt u een stappenplan waarin wij beschrijven wanneer er sprake is van een datalek en daarbij (in hoofdlijnen) gehandeld moet worden.

Twijfelt u of er sprake is van een datalek? Of heeft u hulp nodig bij het nemen van maatregelen, het doen van een melding aan de Autoriteit Persoonsgegevens of betrokkenen, of bij het bepalen van de juridische gevolgen? Ons Privacy en Cybersecurity Team staat klaar om Eerste Hulp Bij Datalekken te verlenen.

Sven Wakker, advocaat Privacy

Met dank aan Thijmen van Hoorn

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found