Nieuw meldformulier datalekken: wat is er veranderd?

7 juni 2021
De Autoriteit Persoonsgegevens (AP) heeft het meldformulier voor datalekken vernieuwd. Het nieuwe meldformulier maakt het eenvoudiger om een datalek bij de AP te melden.
Sven Wakker
Sven Wakker
Advocaat - Senior
In dit artikel

De Autoriteit Persoonsgegevens (AP) heeft het meldformulier voor datalekken vernieuwd. Het doel van deze vernieuwing is om het formulier gebruiksvriendelijker te maken. In dit blog zet ik de wijzigingen ten opzichte van het vorige meldformulier op een rij. Daarbij worden (A) inhoudelijke wijzigingen en (B) functionele wijzigingen onderscheiden.

A. Inhoudelijke wijzigingen

Inhoudelijk is het formulier niet veel veranderd, behoudens een aantal nieuwe vragen dat gesteld wordt:

  1. Wijze van ontdekking inbreuk: Gebruikers van het meldformulier moesten al aangeven wanneer de inbreuk is ontdekt, maar thans moet ook worden aangegeven hoe de inbreuk is ontdekt.
  2. Aard van het incident: Wanneer men vervolgens moet beschrijven wat de aard is van het incident waaruit het datalek is ontstaan, kan de gebruiker uit meer opties kiezen dan voorheen. Zo kan nu bijvoorbeeld worden aangegeven dat persoonsgegevens abusievelijk in de ‘BCC’ van een e-mail zijn geplaatst.
  3. Toelichting risico-inschatting: Een laatste inhoudelijke wijziging is te vinden bij de risico-inschatting. De melder moest altijd al aangeven hoe ernstig hij de mogelijke gevolgen voor betrokkenen acht, maar deze inschatting moet hij nu ook toelichten.

B. Functionele wijzigingen

De grootste veranderingen zijn te vinden wanneer men kijkt naar de functionele wijzigingen:

  1. Gebruiksvriendelijkheid verbeterd: De AP is geslaagd in haar streven om het meldformulier gebruiksvriendelijker te maken. Afhankelijk van het antwoord op de vorige vraag bepaalt het formulier welke vervolgvragen worden gesteld. Zo hoeft de melder nooit irrelevante vragen te beantwoorden.
  2. Tussentijds opslaan: Het is mogelijk om het meldformulier tussentijds op te slaan door de “sessie te bewaren”. Vervolgens wordt een .cas-bestand gegenereerd en gedownload. Door middel van de functie “laad sessie” op de introductiepagina van het meldformulier kan de gebruiker dit gedownloade .cas-bestand weer uploaden, en zo weer verder gaan waar hij gebleven was. Door deze mogelijkheid kan voorkomen worden dat men vragen beantwoordt waarvan het antwoord op dat moment nog niet bekend is (en dus een onjuiste melding voorkomen worden). Tegelijkertijd wordt een opgeslagen sessie niet naar de AP verzonden. Het vervangt daarmee dus niet (!) de zgn. pro-forma melding.
  3. Aanvullen pro-forma melding vergemakkelijkt: het doen van een vervolgmelding of aanvulling van een gedane pro-forma melding is eenvoudiger geworden. De melding kan nu opgezocht worden via het zoeken op een meldingsnummer, waardoor het niet meer nodig is het hele meldformulier opnieuw in te vullen.
  4. Doen van “bulk-meldingen” vergemakkelijkt: Het doen van meerdere meldingen is vergemakkelijkt: er kan een sjabloon worden gemaakt voor veel voorkomende datalekken of een datalek dat zich in een korte tijd vaak herhaalt. Ook kunnen gelijksoortige inbreuken kunnen tegelijkertijd worden aangemeld. Uiteraard mits de AP daarvoor toestemming heeft gegeven, zoals bijvoorbeeld bij grootschalige postverzending door banken, verzekeraars en pensioenfondsen.

Conclusie

Het melden van een datalek is gemakkelijker geworden. Met name zorgt de mogelijkheid tussentijds op te slaan ervoor dat een datalekmelding zorgvuldig gedaan kan worden. Iets dat in de praktijk met open armen zal worden ontvangen. Dat het tijdig doen van een juiste melding bepaald geen sinecure is, volgt ook uit de recente boete aan Booking.

Een andere veelgevraagde wijziging, die van uitbreiding van de beperkte tekstvakken voor toelichting (maximaal 2500 tekens), is helaas niet doorgevoerd.

Eerste hulp bij datalekken

Op onze website vindt u een stappenplan waarin wij beschrijven wanneer er sprake is van een datalek en daarbij (in hoofdlijnen) gehandeld moet worden.

Twijfelt u of er sprake is van een datalek? Of heeft u hulp nodig bij het nemen van maatregelen, het doen van een melding aan de Autoriteit Persoonsgegevens of betrokkenen, of bij het bepalen van de juridische gevolgen? Ons Privacy en Cybersecurity Team staat klaar om Eerste Hulp Bij Datalekken te verlenen.

Sven Wakker, advocaat Privacy

Met dank aan Thijmen van Hoorn

Gerelateerd

Defensie en veiligheid - monitoring

Defensie & veiligheid: Verschillende aandachtspunten rondom extra investeringen in cyberveiligheid

Europabreed is onlangs besloten om tot 5% van het BBP in defensie en aanverwante sectoren te investeren. Er komt dus, stapsgewijs, zeer veel geld vrij in de...
Defensie en veiligheid - beveiligingscamera

Defensie & Veiligheid: investeren, innoveren en beschermen

Door toenemende geopolitieke spanningen hebben de NAVO landen recentelijk ingestemd met een nieuwe NAVO norm van 5% van het BBP. De Nederlandse defensie- en...

Gevangen in een Amerikaans Ecosysteem? Leveranciersafhankelijkheid in IT

Onze digitale infrastructuur draait grotendeels op Amerikaanse motoren. Van cloudopslag en e-mail tot bedrijfsapplicaties en beveiligingsoplossingen: de...

Hoe voorkom je een mismatch tussen een IT-leverancier en een klant?

De samenwerking tussen een IT-leverancier en een klant draait vaak om het realiseren van een technische oplossing die past bij de wensen van de klant. Toch...

Hoe ga je als IT-leverancier om met steeds strengere eisen en certificeringen?

Klanten zijn steeds kritischer op hun IT en hun data en dat sijpelt door naar de eisen die aan leveranciers worden gesteld. Discussies over...
FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

Het is bij systemen waarmee persoonsgegevens worden verwerkt altijd zaak om vooraf goed na te denken over de inrichting daarvan. Zodra een systeem eenmaal in...
No posts found