Europese privacytoezichthouders maken template voor datalekmeldingen

De European Data Protection Board, de overkoepelende organisatie van Europese toezichthouders, introduceert een template voor meldingen van datalekken. Daardoor moet het voor organisaties makkelijker worden om te melden dat zij slachtoffer zijn van een datalek.

De EDPB introduceert na een tweedaagse bijeenkomst in Helsinki verschillende tools om de toepassing van de AVG makkelijker te maken. Het gemeenschappelijke template voor datalekmeldingen moet dergelijke meldingen stroomlijnen en organisaties binnen Europa ontlasten. Daarnaast stellen de Europese privacytoezichthouders verschillende checklists, handleidingen en faq's op om het makkelijker te maken om aan de AVG te voldoen. De EDPB zegt verder de besluiten van toezichthouders op belangrijke zaken te gaan verzamelen om een soort 'jurisprudentie' te ontwikkelen, zodat organisaties beter weten wat er van hen verwacht wordt.

Ook wil de EDPB de uitleg en handhaving van de AVG in Europa consistenter maken. Daarom gaan de toezichthouders de nationale voorlichting in lijn brengen met die van de EDPB en een gedeelde werkwijze voor handhaving ontwikkelen. Bij grensoverschrijdende privacyzaken zullen de toezichthouders een EU-brede aanpak ontwikkelen.

De Nederlandse Autoriteit Persoonsgegevens, die onderdeel is van de EDPB, spreekt op de eigen website van een 'mijlpaal'. "Wetgeving in het digitale tijdperk wordt steeds complexer. Daarom is ook samenwerking nodig met toezichthouders op andere terreinen, om juridische en praktische problemen op te lossen en ook daarin te zorgen voor uniforme uitleg." Organisaties en andere stakeholders kunnen input geven. De algemene uitkomsten van die consultaties worden openbaar gemaakt.

Door Imre Himmelbauer

Redacteur

Feedback • 04-07-2025 18:33
8 • submitter: wildhagen

04-07-2025 • 18:33

8

Submitter: wildhagen

Lees meer

AP waarschuwt voor opkomst van AI-systemen die emotie kunnen herkennen
AP waarschuwt voor opkomst van AI-systemen die emotie kunnen herkennen Nieuws van 16 juli 2025
AP: datadiefstal bij ransomware verdubbelde bijna in 2024
AP: datadiefstal bij ransomware verdubbelde bijna in 2024 Nieuws van 3 juli 2025
EDPB: DeepSeek kan meer acties verwachten van Europese privacytoezichthouders
EDPB: DeepSeek kan meer acties verwachten van Europese privacytoezichthouders Nieuws van 12 februari 2025
Rechtbank EU: Ierse toezichthouder moet klacht tegen Meta toch onderzoeken
Rechtbank EU: Ierse toezichthouder moet klacht tegen Meta toch onderzoeken Nieuws van 30 januari 2025
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens European Data Protection Supervisor

Reacties (8)

-Moderatie-faq
8
8
5
2
0
3
Wijzig sortering
mrooie 5 juli 2025 07:04
Daarnaast stellen de Europese privacytoezichthouders verschillende checklists, handleidingen en faq's op om het makkelijker te maken om aan de AVG te voldoen. De EDPB zegt verder de besluiten van toezichthouders op belangrijke zaken te gaan verzamelen om een soort 'jurisprudentie' te ontwikkelen, zodat organisaties beter weten wat er van hen verwacht wordt.
Is het niet beter om privacy schendende zaken gewoon als wet vast te leggen ipv formulieren checklist faqs?

Of nog makkelijker DATA mag alleen geanonimiseerd of mag helemaal niet gebruikt worden.

[Reactie gewijzigd door mrooie op 5 juli 2025 07:05]

MikeN @mrooie5 juli 2025 08:53
Wetten moeten altijd geïnterpreteerd worden. Daarnaast zorgt heel specifieke wetgeving ervoor dat er ook een heleboel zaken niet gedekt worden. De AVG is bewust technologieneutraal gehouden, waardoor ook meer interpretatie nodig is.

Data alleen anoniem verwerken klinkt leuk, maar zelfs als we dat even beperken tot de grondslag 'gerechtvaardigd belang' (want ik neem aan dat je nog steeds wel je salaris op je bankrekening wil krijgen), dan zijn er nog een heleboel nuttige activiteiten die niet meer mogelijk zouden zijn. Enkele duidelijke voorbeelden zijn bijv.: cameratoezicht bij een geldautomaat, of DDoS-bescherming van Tweakers.net.
uiltje @MikeN5 juli 2025 14:56
Mooie post. Wil ik nog even aan toevoegen dat cryptografische operaties zoals homomorphic encryption (waarmee je operaties kan doen op data die versleuteld blijft) niet echt van de grond komt vanwege (in)efficiëntie en complexiteit. Dus we hebben ook niet alle tools tot onze beschikking.
Die_ene_gast @mrooie7 juli 2025 12:51
DATA mag alleen geanonimiseerd
https://www.schneier.com/blog/archives/2007/12/anonymity_and_t_2.html
webhalla 4 juli 2025 21:42
Plots is ergens de voorgestelde drempelverhoging van 250 naar 750 medewerkers verdwenen voor het Register van de verwerkingsactiviteiten (art 30). Was sowieso een raar voorstel. Welke organisatie doet incidenteel salarisadministratie voor het personeel (art 30.5)?
MikeN @webhalla5 juli 2025 08:48
Daar gaat de EDPB niet over. Dat is de Europese Commissie en de wetgever, en dat voorstel is nog steeds in behandeling. De EDPB heeft er wel een brief over gestuurd https://www.edpb.europa.eu/news/news/2025/simplification-record-keeping-obligation-edpb-and-edps-adopt-letter-eu-commission_en

Het gaat overigens over een verhoging naar 500 medewerkers, en door wat andere wijzigingen zou dat 'incidenteel' verhaal ook niet meer relevant zijn. Zo raar is het dus niet.
webhalla @MikeN7 juli 2025 16:24
(y) Dank u.
The EDPB and EDPS understand that the Commission is considering to propose extending the

derogation provided under Article 30(5) GDPR to the obligation to maintain records of processing that

is currently applicable to enterprises or organisations with less than 250 employees (including small

and medium-sized enterprises or SMEs) to cover “small mid-cap companies” (SMCs) i.e. companies

with fewer than 500 employees and with a certain annual turnover, as well as organisations such as

non-profits with fewer than 500 employees.

In addition, the Commission considers modifying Article 30(5) GDPR to provide that the derogation

would not apply if the processing is “likely to result in a high risk to the rights and freedoms of natural

persons”, whereas the current provision merely refers to processing likely to result in a risk”.

Furthermore, we understand that certain exceptions to the derogation to maintain a record of

processing activities would be removed, in particular by deleting the references to occasional

processing and possibly also the reference to processing of special categories of data 1

.
webhalla @MikeN9 juli 2025 15:22
Vandaag de update van edps en edpb.

https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en

Zij stellen de commissie ook weer de vraag of het 750 of 500 werknemers als limiet voor het register van verwerkingen aangezien de definities van small and medium sized enterprises (SMEs) en small mid-cap enterprises (SMCs) opgenomen gaan worden in artikel 4. De definitie voor beide termen stelt ook eisen aan financiële limieten. De verwijdering en consequenties van de voorwaarde (incidentele verwerking) wil men ook graag toegelicht zien.

Er gaat nog heel wat water onder de Maasbrug stromen voordat de versimpeling van de AvG er door is.


Persoonlijk sta ik achter de lijn van de Australische OAIC die juist het afschaffen van de verplichting om een register van verwerkingsactiviteiten een niet handige zet vind. Dit register is dé bron van informatie voor de verwerkers overeenkomsten, privacyverklaring en dsar’s.

[Reactie gewijzigd door webhalla op 9 juli 2025 15:28]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq