Embedded Files
Elke werknemer binnen de onderneming draagt de verantwoordelijkheid om onverwijld een datalek of vermoeden van datalek te melden bij zijn/haar leidinggevende. Dit kan bijvoorbeeld het verlies zijn van een USB-stick met persoonsgegevens op of de diefstal van de professionele laptop.
De leidinggevende draagt op zijn beurt de verplichting dit lek te onderzoeken, (preventief) te stoppen of in ieder geval de impact zo veel mogelijk te beperken. De leiddinggevende zal op zijn beurt eveneens de zaakvoerder op de hoogte brengen.
Indien de zaakvoerder vaststelt dat er sprake is van een datalek met mogelijke risico’s voor het betrokken individu zal hij de gegevensbeschermingsautoriteit hiervan op de hoogte moeten brengen. De mogelijke risico’s moeten case-by-case beoordeeld worden. De mogelijke risico’s zijn namelijk afhankelijk van veel factoren, zoals de inhoud van het datalek, de aard van de organisatie en meer.
Indien IT-matig de gevolgen van het datalek beperkt kunnen worden zal ook onmiddellijk contact opgenomen worden met de IT-verantwoordelijke.
Hiernaast zal de zaakvoerder ook de werknemer waar de data betrekking op hebben op de hoogte brengen als er een hoog risico is voor de rechten en vrijheden van de werknemer. De betrokkene zal niet geïnformeerd worden als:
- de verantwoordelijke voor de verwerking technische en organisatorische maatregelen heeft genomen waardoor de persoonlijke data beschermd worden (zoals dataversleuteling);
- de verantwoordelijke voor de verwerking maatregelen heeft genomen waardoor de kans op schadelijke gevolgen niet waarschijnlijk is;
- het disproportioneel veel moeite kost om ieder individu op de hoogte te stellen. In zo’n geval kan een publieke aankondiging ingezet worden.
Report abuse