Lees meer

Meld je aan voor de nieuwsbrief
Aanmelden nieuwsbrief
Neem contact met ons op
Contact

Geen elke ondernemer wil te maken hebben met een datalek. Helaas komt het toch regelmatig voor dat er een datalek plaatsvindt. Dit kan op verschillende manieren gebeuren. Zo zien we in het nieuws nog wel eens voorbij komen dat er een cyberaanval heeft plaatsgevonden waarbij persoonsgegevens zijn gehackt. Een datalek kan echter ook plaatsvinden doordat een laptop of usb-stick wordt gestolen of verloren, maar dit kan ook simpelweg gebeuren doordat een e-mail wordt verstuurd naar de verkeerde persoon (dit laatste voorbeeld komt vaak voor). Wanneer een datalek plaatsvindt, ontstaan er verschillende vragen. Een van deze vragen is: ‘moeten we het datalek melden?’

Het maken van een melding

Nadat er een datalek heeft plaatsgevonden kan deze op twee manieren gemeld worden. Zo kan het zijn dat je het datalek moet melden bij de Autoriteit Persoonsgegevens (hierna: AP), maar het kan ook belangrijk zijn om de betrokkenen van het datalek te melden dat er persoonsgegevens zijn gelekt.

Een inbreuk in verband met persoonsgegevens

Allereerst moet vastgesteld worden of überhaupt sprake is van een (meldingsplichtige) datalek. In de Algemene Verordening Gegevensbescherming (hierna: AVG) wordt in plaats van ‘datalek’ de term ‘een inbreuk in verband met persoonsgegevens’ gebruikt. Uit de AVG blijkt dat voor een inbreuk in verband met persoonsgegevens sprake moet zijn van een inbreuk op de beveiliging, waarbij sprake is van aantasting van:

  1. vertrouwelijkheid (de gegevens zijn niet meer geheim/toegankelijk voor onbevoegden); en/of
  2. integriteit (het is niet zeker meer dat de gegevens juist zijn/de gegevens zijn onbevoegd gewijzigd); en/of
  3. beschikbaarheid van de gegevens (de gegevens kunnen niet worden geraadpleegd).

Vervolgstappen

Stap 1: Persoonsgegevens

Nadat bekend is dat er een datalek heeft plaatsgevonden, is het van belang om snel te beoordelen of het om persoonsgegevens gaat. Als er geen persoonsgegevens zijn gelekt (en bijvoorbeeld slechts bedrijfsgegevens), dan geldt de AVG niet en is er ook geen meldplicht op grond van de AVG.

Stap 2: Waarschijnlijkheid van het risico voor betrokkenen

Vervolgens moet de vraag gesteld worden of er een waarschijnlijk risico is voor de betrokkenen. Met risico bedoelen we hier de nadelige effecten.  Voorbeelden van mogelijke nadelige effecten zijn: verlies van controle over persoonsgegevens, de beperking van rechten, identiteitsdiefstal of –fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de personen in kwestie.

Als verwerkingsverantwoordelijke dien je zelf te beoordelen of er een waarschijnlijk risico aanwezig is voor de betrokkenen (degene van wie het persoonsgegeven is). Er wordt aanbevolen om rekening te houden met de volgende criteria:

  • De aard van de inbreuk;
  • De aard, gevoeligheid en omvang van de persoonsgegevens;
  • Het gemak waarmee personen kunnen worden geïdentificeerd;
  • Ernst van gevolgen voor personen;
  • Bijzondere kenmerken van de persoon;
  • Bijzondere kenmerken van de verwerkingsverantwoordelijke;
  • Het aantal getroffen personen.

Het uitgangspunt hierbij is dat hoe erger de mogelijke gevolgen van een inbreuk zijn en hoe groter de waarschijnlijkheid van het risico is, hoe groter het risico daadwerkelijk is. Dit maakt de kans groter dat je een melding dient te maken.

Waarschijnlijk geen risico voor betrokkene = geen meldplicht

Er bestaat geen meldplicht van het datalek als het waarschijnlijk is dat het risico voor de betrokkenen erg laag is. Dit doet zich bijvoorbeeld voor als de gelekte persoonsgegevens in een geavanceerd algoritme zijn versleuteld. Zolang de sleutel van het algoritme vertrouwelijk is, blijven de gegevens onbegrijpelijk. Dit maakt het onwaarschijnlijker dat er nadelige gevolgen zijn voor betrokken personen.

Stap 3: Binnen de termijn een melding maken

Zodra vaststaat dat er een inbreuk op de persoonsgegevens van de betrokkene heeft plaatsgevonden en er een waarschijnlijk risico aanwezig is, dient gemeld te worden. Er dient binnen 72 uur nadat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek een melden gemaakt te worden bij de AP. Een verwerkingsverantwoordelijke heeft kennis genomen van een datalek als hij hierover wordt geïnformeerd. Let op! Er is dan wel nog ruimte voor een onderzoek naar de omstandigheden en een beoordeling van de situatie (zoals in de voorgaande stappen weergegeven).

Een betrokkene meldt je onverwijld (zo snel mogelijk) dat er een datalek heeft plaatsgevonden.

Stap 4: het datalek bijhouden in een incidentenregister

Een verwerkingsverantwoordelijke heeft een verplichting tot het bijhouden van alle inbreuken in verband met persoonsgegevens. In dit geval gaat het niet alleen om de inbreuken waarvan een melding gemaakt moet worden, maar ook van datalekken waarbij geen meldplicht bestaat en toch sprake is van aantasting van:

  1. de vertrouwelijkheid persoonsgegevens; en/of
  2. de integriteit van persoonsgegevens; en/of
  3. beschikbaarheid van de persoonsgegevens.

De AVG geeft geen strikte termijn waarbinnen dergelijke gegevens bewaard moeten worden. Zolang er geen bewaartermijn wordt gegeven door een (andere) wettelijke bepaling, is het aan de verwerkingsverantwoordelijke om te bepalen wat de bewaartermijn van de gegevens is. Belangrijk is om hierbij te kijken hoelang het noodzakelijk is om de gegevens te bewaren volgens de doeleinden waarvoor de gegevens verwerkt zijn.

Privacybeleid

Het kan verstandig zijn om in een privacybeleid bepalingen op te nemen over een datalek, maar ook bijvoorbeeld over de bewaartermijn van persoonsgegevens. Mocht de AP dan ooit navraag doen over de gehanteerde bewaartermijnen, dan kun je de termijn verantwoorden.

Hulp bij datalek

Heb je te maken met een datalek? Wij helpen je graag met het onderzoeken of je de datalek dient te melden bij de AP en de betrokkenen.

Kunnen wij je hierbij helpen of heb je andere vragen? Neem dan vooral contact met ons op.

Vraag vrijblijvend een offerte aan

    Neem contact met mij op

    Liever direct contact opnemen?