5. Wat te doen bij een (mogelijk) datalek bij mijn archiefinstelling?

Het is van belang om een protocol te hebben vastgesteld, dat gevolgd kan worden in geval er een vermeend of werkelijk datalek bij een archiefinstelling is. Het maakt niet uit, of het een lek is uit de eigen archieven van de instelling (zoals personeels- of bezoekersgegevens) of uit de beheerde historische archieven. Voorwaarde voor een werkend protocol is, dat is vastgelegd, wie verwerkingsverantwoordelijk is. Bij een gezamenlijke verwerkingsverantwoordelijkheid is het sterk aan te bevelen dat is vastgelegd, wie van de partners een datalek meldt. De verwerkingsverantwoordelijke moet een ernstig datalek namelijk binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Er kan ook alvast een voorlopige melding worden gedaan wanneer nog niet alle gegevens voorhanden zijn. Het is gebruikelijk om hierbij de Functionaris Gegevensbescherming in te schakelen, in elk geval moeten diens gegevens bij de melding worden betrokken. Wanneer er door het datalek een hoog risico voor de privacy is ontstaan, moet dit ook worden gemeld aan de betrokkenen, zie AVG artikelen 33 en 34. Bij de melding moet onder meer worden aangegeven, welke maatregelen de verwerkingsverantwoordelijke inmiddels heeft genomen om het lek te dichten. Het is daarom nuttig om een noodprocedure te hebben waarbij gegevens bijvoorbeeld direct van een website afgehaald kunnen worden. Het is aan te bevelen het datalekprotocol en het noodprotocol af en toe te oefenen en zonodig bij te stellen.

Zie de website van de AP over datalekken.