Nieuw meldformulier datalekken: wat is er veranderd?

De Autoriteit Persoonsgegevens (AP) heeft het meldformulier voor datalekken vernieuwd. Het doel van deze vernieuwing is om het formulier gebruiksvriendelijker te maken. In dit blog zet ik de wijzigingen ten opzichte van het vorige meldformulier op een rij. Daarbij worden (A) inhoudelijke wijzigingen en (B) functionele wijzigingen onderscheiden.

A. Inhoudelijke wijzigingen

Inhoudelijk is het formulier niet veel veranderd, behoudens een aantal nieuwe vragen dat gesteld wordt:

1. Wijze van ontdekking inbreuk: Gebruikers van het meldformulier moesten al aangeven wanneer de inbreuk is ontdekt, maar thans moet ook worden aangegeven hoe de inbreuk is ontdekt.
2. Aard van het incident: Wanneer men vervolgens moet beschrijven wat de aard is van het incident waaruit het datalek is ontstaan, kan de gebruiker uit meer opties kiezen dan voorheen. Zo kan nu bijvoorbeeld worden aangegeven dat persoonsgegevens abusievelijk in de ‘BCC’ van een e-mail zijn geplaatst.
3. Toelichting risico-inschatting: Een laatste inhoudelijke wijziging is te vinden bij de risico-inschatting. De melder moest altijd al aangeven hoe ernstig hij de mogelijke gevolgen voor betrokkenen acht, maar deze inschatting moet hij nu ook toelichten.

B. Functionele wijzigingen

De grootste veranderingen zijn te vinden wanneer men kijkt naar de functionele wijzigingen:

1. Gebruiksvriendelijkheid verbeterd: De AP is geslaagd in haar streven om het meldformulier gebruiksvriendelijker te maken. Afhankelijk van het antwoord op de vorige vraag bepaalt het formulier welke vervolgvragen worden gesteld. Zo hoeft de melder nooit irrelevante vragen te beantwoorden.
2. Tussentijds opslaan: Het is mogelijk om het meldformulier tussentijds op te slaan door de “sessie te bewaren”. Vervolgens wordt een .cas-bestand gegenereerd en gedownload. Door middel van de functie “laad sessie” op de introductiepagina van het meldformulier kan de gebruiker dit gedownloade .cas-bestand weer uploaden, en zo weer verder gaan waar hij gebleven was. Door deze mogelijkheid kan voorkomen worden dat men vragen beantwoordt waarvan het antwoord op dat moment nog niet bekend is (en dus een onjuiste melding voorkomen worden). Tegelijkertijd wordt een opgeslagen sessie niet naar de AP verzonden. Het vervangt daarmee dus niet (!) de zgn. pro-forma melding.
3. Aanvullen pro-forma melding vergemakkelijkt: het doen van een vervolgmelding of aanvulling van een gedane pro-forma melding is eenvoudiger geworden. De melding kan nu opgezocht worden via het zoeken op een meldingsnummer, waardoor het niet meer nodig is het hele meldformulier opnieuw in te vullen.
4. Doen van “bulk-meldingen” vergemakkelijkt: Het doen van meerdere meldingen is vergemakkelijkt: er kan een sjabloon worden gemaakt voor veel voorkomende datalekken of een datalek dat zich in een korte tijd vaak herhaalt. Ook kunnen gelijksoortige inbreuken kunnen tegelijkertijd worden aangemeld. Uiteraard mits de AP daarvoor toestemming heeft gegeven, zoals bijvoorbeeld bij grootschalige postverzending door banken, verzekeraars en pensioenfondsen.

Conclusie

Het melden van een datalek is gemakkelijker geworden. Met name zorgt de mogelijkheid tussentijds op te slaan ervoor dat een datalekmelding zorgvuldig gedaan kan worden. Iets dat in de praktijk met open armen zal worden ontvangen. Dat het tijdig doen van een juiste melding bepaald geen sinecure is, volgt ook uit de recente boete aan Booking.

Een andere veelgevraagde wijziging, die van uitbreiding van de beperkte tekstvakken voor toelichting (maximaal 2500 tekens), is helaas niet doorgevoerd.

Eerste hulp bij datalekken

Op onze website vindt u een stappenplan waarin wij beschrijven wanneer er sprake is van een datalek en daarbij (in hoofdlijnen) gehandeld moet worden.

Twijfelt u of er sprake is van een datalek? Of heeft u hulp nodig bij het nemen van maatregelen, het doen van een melding aan de Autoriteit Persoonsgegevens of betrokkenen, of bij het bepalen van de juridische gevolgen? Ons Privacy en Cybersecurity Team staat klaar om Eerste Hulp Bij Datalekken te verlenen.

Sven Wakker, advocaat Privacy

Met dank aan Thijmen van Hoorn