Een nieuw meldformulier van de Autoriteit Persoonsgegevens (AP) moet het melden van een datalek in een organisatie een stuk eenvoudiger maken. Dit is goed om te weten voor de ondernemingsraad (OR). Dankzij het instemmingsrecht is de bescherming van persoonsgegevens namelijk ook een zaak van de OR.
Als een organisatie ontdekt dat er gegevens zijn gelekt, moet zij snel handelen. De organisatie moet direct zijn beveiliging in orde brengen om verdere schade te voorkomen. Ook moet zij het datalek binnen 72 uur melden bij privacytoezichthouder AP. Een nieuw meldformulier, dat de AP onlangs lanceerde, moet het melden van een datalek gemakkelijker maken. De vragenlijst is ‘slimmer’ geworden, waardoor de melder alleen relevante vragen hoeft te beantwoorden, en kan tussentijds worden opgeslagen. Ook is het nu mogelijk om een ‘bulkmelding’, van meerdere soortgelijke inbreuken, te doen en om een gemaakte melding weer in te trekken.
Uit de onlangs verschenen Cybersecuritymonitor 2020 (pdf) van het Centraal Bureau voor de Statistiek (CBS) blijkt dat grotere organisaties meer kans hebben op datalekken. Reden te meer voor de OR om het onderwerp ‘privacy’ bij de bestuurder op de agenda te zetten. Voldoet het privacybeleid aan alle eisen van de Algemene verordening gegevensbescherming (AVG) en weet de organisatie hoe zij moet handelen bij een datalek? Het is belangrijk dat de organisatie hiervoor een protocol opstelt, waarin zij ook het nieuwe meldformulier van de AP opneemt. De bestuurder doet er verstandig aan om de functionaris voor gegevensbescherming (FG), als die is aangesteld, en de OR te betrekken bij het opstellen en actualiseren van dit protocol. Vervolgens moet hij het ter instemming voorleggen aan de OR.
De OR heeft namelijk instemmingsrecht als de bestuurder een regeling rond het verwerken of beschermen van de persoonsgegevens van de in de onderneming werkzame personen wil invoeren, wijzigen of intrekken (artikel 27, lid 1k van de Wet op de ondernemingsraden, WOR). De OR kan hierbij advies inwinnen bij de FG. Ziet de OR in het huidige privacybeleid mogelijkheden tot verbetering, dan kan de raad een concreet advies indienen bij de bestuurder op grond van zijn initiatiefrecht (artikel 23, lid 3 WOR). De OR hoeft dus niet af te wachten tot de bestuurder wijzigingen wil doorvoeren en een instemmingsaanvraag indient.
Met behulp van de toolbox ‘Privacymanagement: de controle en optimalisatie in 8 stappen’ kan de organisatie controleren of zij aan de eisen van de AVG voldoet, of de juiste beveiligingsmaatregelen zijn getroffen en hoe zij het privacymanagement naar een hoger niveau kan tillen.
Meer informatie over datalekken vindt u in de toolbox Zo gaat u om met datalekken in 5 stappen.
Meer informatie over datalekken vindt u in de toolbox Zo gaat u om met datalekken in 5 stappen.