Willemsbrug - Maaskade

Datalekken

Meldplicht datalekken nieuw?


De meldplicht datalekken uit de AVG is grotendeels vergelijkbaar met de meldplicht die onder de Wpb (Wet bescherming persoonsgegevens) al in 2016 werd geďntroduceerd. Nieuw is de verplichting om voortaan alle datalekken in het interne register van uw organisatie op te nemen – dus niet alleen de aan de toezichthouder gemelde datalekken.

Wat is een datalek?


Hulp bij datalekken Het begrip datalek is breder dan de term suggereert (het ‘weglekken’ van data). Bij een datalek gaat het om een inbreuk op de beveiliging waardoor persoonsgegevens in verkeerde handen zijn gevallen, kwijt zijn geraakt of ontoegankelijk zijn geworden. Het is dus een veiligheidsincident waarbij persoonsgegevens gecompromitteerd zijn geraakt. Het versturen van persoonsgegevens aan verkeerde personen is het meest voorkomende type datalek. Op de tweede plaats staat het kwijtraken (of de diefstal) van gegevensdragers, zoals laptops en usb-sticks. Maar ook cyberincidenten als een ransomware- of DDoS-aanval kunnen een datalek zijn.

In de praktijk komt het regelmatig voor dat men een datalek 'onder de pet' wilt houden en geen melding bij de toezichthouder doet. Dit is niet verstandig: op het niet-melden van een ernstig datalek staat een hoge boete. De AP heeft dit onderwerp zelfs tot speerpunt in haar toezichtkader 2018-2019 gemaakt. Daarnaast maakt een organisatie die geen meldingen doet zichzelf verdacht. Immers, elke organisatie krijgt weleens te maken met incidenten als het zoekraken van een laptop of het versturen van reguliere post of e-mail naar de verkeerde personen.

Meldplicht - wanneer melden aan toezichthouder?


Het hangt van de ernst van een datalek af of een organisatie verplicht is een melding te doen bij de toezichthouder, de Autoriteit Persoonsgegevens (AP) . De AVG geeft aan dat een lek moet worden gemeld als het leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het hangt van de omvang (o.a. aantal betrokkenen, aantal persoonsgegevens) én de aard (o.a. gevoeligheid van de gegevens) van het datalek af of er sprake is van een meldensplichtig incident.
Een datalek moet in principe binnen 72 uur na ontdekking bij de toezichthouder worden gemeld. Dient u de melding later in, dan moet u daarvoor een heel goede reden hebben – en deze ook uitleggen op het meldingsformulier. Met 'we waren onderbezet vanwege de vakantie' zult u in zo’n geval niet wegkomen.
Het onderwerp datalekken is een speerpunt van de AP

Meldplicht - wanneer melden aan betrokkenen?


In sommige gevallen moet een lek óók worden gemeld aan de personen van wie de gegevens zijn gelekt. Dit is het geval als het lek waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. Hierbij kunt u denken aan schade in de vorm van identiteitsfraude of discriminatie, maar ook aan reputatie-, financiële en andere schade.

Voor het informeren van de betrokkenen ligt de lat hoger dan voor het melden aan de toezichthouder. Pas als u hebt bepaald dat een incident moet worden gemeld aan de toezichthouder, maakt u de afweging om al dan niet de betrokkenen te informeren. Overigens kunt u natuurlijk ook als de AVG u daartoe niet verplicht de betrokkenen informeren.

Wanneer opnemen in intern register?


Elk datalek, dus ook de niet gemelde, moet worden opgenomen in uw interne register, inclusief een beschrijving van de feiten, de gevolgen en de corrigerende maatregelen die u hebt genomen. Op verzoek dient u dit register aan de Autoriteit Persoonsgegevens te tonen. Deze kan daarmee controleren of u aan de meldplicht hebt voldaan.
Vragen over datalekken? Hebt u hulp nodig bij het inrichten van uw interne register of het opstellen van een datalekprocedure?
Neem contact met mij op:
Annemarie Vervoordeldonk
Privacy consultant LLM, CIPP/E, CIPM
Annemarie Vervoordeldonk : privacyjurist & FG/DPO