Datalekken

Datalekken

Wat is een datalek?

Een belangrijk onderdeel van de AVG is de registratieplicht en de meldplicht van datalekken. Maar wat is een datalek nu precies? Er is sprake van een datalek wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Dit kan per ongeluk gebeuren, bijvoorbeeld door het abusievelijk mailen van een bestand met persoonsgegevens naar de verkeerde ontvanger. Wist u dat het meest gemelde datalek (45% van alle meldingen) een verkeerd geadresseerde e-mail betreft? Maar het kan ook ontstaan doordat door een verkeerde instelling op de website waardoor vertrouwelijke gegevens zichtbaar zijn voor alle bezoekers van deze website. Het kan ook opzettelijk gebeuren, zoals wanneer een website gehackt wordt, of wanneer een werknemer bijvoorbeeld gegevens doorspeelt naar een derde. Andere voorbeelden zijn: cyberaanvallen, hacking, ransomeware, maar ook verlies van wachtwoorden, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.

Beveiligingsincident

Een datalek begint dus altijd met een beveiligingsincident, zoals één van de beschreven voorbeelden hierboven. Een beveiligingslek wordt een datalek wanneer hierbij persoonsgegevens verloren zijn gegaan of er een aanzienlijke kans is dat ze verloren zijn gegaan, maar ook als onrechtmatige verwerking van de persoonsgegevens niet is uit te sluiten.

U kunt dit vergelijken met een inbraak in uw huis. Wanneer u thuiskomt en ziet dat de deur is opengebroken, is er sprake van een beveiligingsincident. Dit is vervelend, maar hoeft nog geen vervelende consequenties te hebben. Wanneer vervolgens blijkt dat er spullen gestolen zijn, kunt u dit vergelijken met een datalek.

Meldplicht datalekken

Wanneer duidelijk is dat er sprake is van een datalek, dient dit gemeld te worden aan de Autoriteit Persoonsgegevens (AP), en in sommige gevallen ook aan de betrokkene.

Melding aan de Autoriteit Persoonsgegevens (AP)

Wanneer een datalek ontdekt wordt, moet dit door de verwerkingsverantwoordelijke binnen 72 uur aan de AP gemeld worden. Ieder datalek moet gemeld worden, tenzij het lek geen risico’s inhoudt voor de rechten en vrijheden van betrokkenen. Aangezien dit nogal een ruime formulering is, zal dus de verplichting tot melding al snel het geval zijn. Een factor die hierbij een rol speelt, is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Bij persoonsgegevens van gevoelige aard moet u naast de eerder genoemde bijzondere persoonsgegevens, denken aan:
• gegevens over de financiële of economische situatie van de betrokkene
• gebruikersnamen, wachtwoorden en andere inloggegevens
• gegevens die kunnen worden misbruikt voor (identiteits)fraude

Als het datalek bij de verwerker heeft plaatsgevonden, dan is deze ook verplicht om dit direct bij de verwerkingsverantwoordelijke te melden. De meldplicht van de verwerkingsverantwoordelijke gaat dan in nadat de melding van de verwerker is ontvangen.

De melding aan de AP moet in ieder geval de volgende informatie bevatten:
• de aard van de inbreuk
• de instanties waar meer informatie over de inbreuk kan worden verkregen
• de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
• een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens
• de maatregelen die de organisatie heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen
Deze melding moet gedaan worden bij het Meldloket datalekken van Autoriteit Persoonsgegevens.

Melding aan betrokkene

Naast de verplichte melding aan de AP, moet een datalek ook gemeld worden aan de betrokkene, als het waarschijnlijk is dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen. Denk hierbij aan verlies van pincodes van bankrekeningen, of het verlies van een database van een sexclub.

In deze melding moeten in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen, en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken, opgenomen zijn.

Er gelden uitzonderingen op deze meldplicht aan betrokkenen. Dit is bijvoorbeeld het geval als de gelekte persoonsgegevens versleuteld zijn. Voor een verloren usb-stick met persoonsgegevens die met encryptie is beveiligd geldt geen meldplicht aan de betrokkenen (maar wel aan de Autoriteit Persoonsgegevens).

Registratieplicht datalekken

Elke organisatie is verplicht om alle datalekken (ook de datalekken die niet gemeld hoeven te worden bij de AP) bij te houden in een logboek. Daarbij moeten in ieder geval de details van het datalek gemeld worden, evenals de gevolgen die het voor betrokkene heeft en de corrigerende maatregelen die genomen zijn.  Om u hierbij te helpen hebben wij een voor de praktijk handzaam format gemaakt, dat u hier kosteloos kunt downloaden.

De Wet meldplicht datalekken is al in werking getreden op 1 januari 2016, en maakt onderdeel uit van de Wbp. U bent als organisatie dus nu al verplicht om datalekken te melden en te registreren. De regels omtrent datalekken die in de AVG zijn opgenomen, zijn grotendeels gelijk aan die van de Wpb.

Beslisboom datalekken

1. Heeft zich een beveiligingsincident voorgedaan?
2. Zijn hierbij persoonsgegevens verloren gegaan en/of is onrechtmatige verwerking van persoonsgegevens hierdoor niet uit te sluiten? – registratieplicht
3. Houdt het datalek risico’s in voor de rechten en vrijheden van betrokkenen? – meldplicht bij AP
4. Is het waarschijnlijk dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken? – meldplicht aan betrokkenen

Terug naar inleiding

Bent u nog niet klaar voor de AVG? Bestel dan snel ons doehetzelf-pakket: functioneel, praktisch en betaalbaar

Print Friendly, PDF & Email
Reageren is niet mogelijk.