#Privacypost: Ambassadeurs aan zet: hoe handel je bij een datalek?

Soms gaat er iets mis en ontstaat er een datalek. Het is dan van groot belang om snel en juist te handelen. Deze week helpen we jullie om precies te begrijpen wat de juiste stappen zijn. Ben jij klaar om je kennis te testen en je rol als ambassadeur te versterken? Volgende week leggen we de focus op zorgmedewerkers. Alles maakt deel uit van onze campagne #privacymaart.

Quizvraag voor de ambassadeurs!
Zorgorganisatie “ZorgTotaal” had onlangs te maken met een datalek. Een medewerker stuurde per ongeluk een e-mail met patiëntgegevens naar de verkeerde ontvanger. De medewerker ontdekte de fout meteen, maar meldde het datalek pas drie dagen later bij de privacyfunctionaris, omdat hij niet zeker wist of het wel een “serieus” datalek was. De privacyfunctionaris meldde het datalek pas na vijf dagen bij de Autoriteit Persoonsgegevens, nadat er intern overleg was over de gevolgen. In de tussentijd waren de gegevens al in handen van de onbevoegde ontvanger.

Wat is de grootste fout in het proces van datalekmelding bij “ZorgTotaal”?

A) Het datalek werd niet binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld.
B) De medewerker meldde het datalek pas drie dagen later aan de privacyfunctionaris.
C) Het interne overleg over de gevolgen van het datalek werd niet goed gecoördineerd.
D) Het datalek werd niet direct gemeld aan de betrokken patiënten.

Het juiste antwoord is A: het datalek werd niet binnen 72 uur aan de Autoriteit Persoonsgegevens gemeld. Op grond van de AVG moet een datalek binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens, tenzij het datalek waarschijnlijk geen risico voor de betrokkenen inhoudt. Te laat melden kan leiden tot boetes en andere juridische gevolgen.