Een datalek - Wat nu?

Intigio - Meldplicht
72u Meldplicht

Uw eerste contact met de gegevensbeschermings-autoriteit moet een overzicht geven van:

Het is uw verantwoordelijkheid om uw gegevensbeschermingsautoriteit op de hoogte te brengen van elke inbreuk op de rechten en vrijheden van personen binnen 72 uur nadat uw organisatie zich hiervan bewust is geworden.

Die deadline is krap genoeg om ervoor te zorgen dat je waarschijnlijk niet elk detail van een overtreding kent na het ontdekken ervan.

De aard van de betrokken gegevens

Ruwweg hoeveel mensen getroffen werden

Wat de gevolgen voor hen kunnen zijn en welke maatregelen u al hebt genomen of van plan bent te nemen

Datalek

Een datalek melden

Maar nog voor u de gegevensbeschermingsautoriteit belt, moet u de personen die door de gegevensinbreuk worden getroffen, hiervan op de hoogte stellen.

Degenen die de termijn van 72 uur niet halen, kunnen worden bestraft met een boete van maximaal 2% van hun jaarlijkse wereldwijde inkomsten, of 10 miljoen euro als dat meer is.

Oké, welke andere boetes zijn er voor het niet nakomen van de GDPR?

Nou, als je de basisprincipes voor het verwerken van gegevens, zoals toestemming, het negeren van de rechten van individuen op hun gegevens, of het doorgeven van gegevens aan een ander land niet volgt, zijn de boetes nog erger.

De Belgische autoriteit hiervoor is de privacycommissie

Europees Parlementslid Philippe De Backer is van mening dat de overheid meer middelen nodig heeft om het hoofd te kunnen bieden aan de opvolging van de GDPR en om te kunnen reageren op organisaties die overtredingen melden.
In 2017 vertelde hij ondermeer dat er meer middelen nodig waren om geschoolde mensen te werven en te behouden.

Uw gegevensbeschermingsautoriteit kan een boete opleggen van maximaal € 20 miljoen of 4%
van uw wereldwijde jaaromzet, afhankelijk van wat het grootst is.

Een project met ons starten?

Of u nu een KMO, multinational bent of in de publieke sector actief bent, we kunnen onze GDPR-diensten op uw behoeften afstemmen.

Contacteer ons

Veelgestelde vragen

Wanneer kan ik gegevens verwerken onder de GDPR?

Zodra de wetgeving in werking is getreden, op 25 mei 2018, moeten de verwerkingsverantwoordelijken ervoor zorgen dat persoonsgegevens rechtmatig, transparant en voor een specifiek doel worden verwerkt.

Wanneer kunnen mensen toegang krijgen tot de gegevens die we van hen verwerken?

De GDPR vereist dat de verwerkingsverantwoordelijken en verwerkers transparant zijn over hoe zij gegevens verzamelen, wat zij ermee doen en hoe zij deze verwerken.

Wat als een betrokkene zijn gegevens wil overdragen?

Controllers moeten de informatie van mensen kunnen aanleveren in veelgebruikte formaten (zoals CSV-bestanden). Zodat de betrokkene op een eenvoudige manier zijn gegevens kan overdragen naar een andere organisatie (gratis) als de persoon daarom vraagt.

De verantwoordelijke voor de verwerking moet de gegevens binnen een maand aanleveren.

Wat is het recht om vergeten te worden onder de GDPR?

Individuen hebben ook het recht om te eisen dat hun gegevens worden gewist als ze niet langer nodig zijn voor het doel waarvoor ze zijn verzameld. Dit staat bekend als het “recht om te worden vergeten”.

Onder deze regel kunnen ze ook eisen dat hun gegevens worden gewist als ze hun toestemming voor het verzamelen van hun gegevens hebben ingetrokken, of bezwaar hebben tegen de manier waarop ze worden verwerkt.

Het is de verantwoordelijkheid van de controller om andere organisaties (bijvoorbeeld Google) te informeren over het verwijderen van links naar kopieën van die gegevens, evenals de kopieën zelf.

Hoe vraag ik toestemming onder de GDPR?

Toestemming geven moet een actieve, positieve actie van de betrokkene zijn, en niet de passieve aanvaarding zoals onder sommige huidige modellen d.m.v vooraf aangevinkte vakjes.