Loud - Juridisch Advies & Mediation
06-06-2022 | Ondernemingsrecht
Lees meer
Geen elke ondernemer wil te maken hebben met een datalek. Helaas komt het toch regelmatig voor dat er een datalek plaatsvindt. Dit kan op verschillende manieren gebeuren. (…) Wanneer een datalek plaatsvindt, ontstaan er verschillende vragen. Een van deze vragen is: ‘moeten we het datalek melden?’
Geen elke ondernemer wil te maken hebben met een datalek. Helaas komt het toch regelmatig voor dat er een datalek plaatsvindt. Dit kan op verschillende manieren gebeuren. Zo zien we in het nieuws nog wel eens voorbij komen dat er een cyberaanval heeft plaatsgevonden waarbij persoonsgegevens zijn gehackt. Een datalek kan echter ook plaatsvinden doordat een laptop of usb-stick wordt gestolen of verloren, maar dit kan ook simpelweg gebeuren doordat een e-mail wordt verstuurd naar de verkeerde persoon (dit laatste voorbeeld komt vaak voor). Wanneer een datalek plaatsvindt, ontstaan er verschillende vragen. Een van deze vragen is: ‘moeten we het datalek melden?’
Nadat er een datalek heeft plaatsgevonden kan deze op twee manieren gemeld worden. Zo kan het zijn dat je het datalek moet melden bij de Autoriteit Persoonsgegevens (hierna: AP), maar het kan ook belangrijk zijn om de betrokkenen van het datalek te melden dat er persoonsgegevens zijn gelekt.
Allereerst moet vastgesteld worden of überhaupt sprake is van een (meldingsplichtige) datalek. In de Algemene Verordening Gegevensbescherming (hierna: AVG) wordt in plaats van ‘datalek’ de term ‘een inbreuk in verband met persoonsgegevens’ gebruikt. Uit de AVG blijkt dat voor een inbreuk in verband met persoonsgegevens sprake moet zijn van een inbreuk op de beveiliging, waarbij sprake is van aantasting van:
Nadat bekend is dat er een datalek heeft plaatsgevonden, is het van belang om snel te beoordelen of het om persoonsgegevens gaat. Als er geen persoonsgegevens zijn gelekt (en bijvoorbeeld slechts bedrijfsgegevens), dan geldt de AVG niet en is er ook geen meldplicht op grond van de AVG.
Vervolgens moet de vraag gesteld worden of er een waarschijnlijk risico is voor de betrokkenen. Met risico bedoelen we hier de nadelige effecten. Voorbeelden van mogelijke nadelige effecten zijn: verlies van controle over persoonsgegevens, de beperking van rechten, identiteitsdiefstal of –fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de personen in kwestie.
Als verwerkingsverantwoordelijke dien je zelf te beoordelen of er een waarschijnlijk risico aanwezig is voor de betrokkenen (degene van wie het persoonsgegeven is). Er wordt aanbevolen om rekening te houden met de volgende criteria:
Het uitgangspunt hierbij is dat hoe erger de mogelijke gevolgen van een inbreuk zijn en hoe groter de waarschijnlijkheid van het risico is, hoe groter het risico daadwerkelijk is. Dit maakt de kans groter dat je een melding dient te maken.
Er bestaat geen meldplicht van het datalek als het waarschijnlijk is dat het risico voor de betrokkenen erg laag is. Dit doet zich bijvoorbeeld voor als de gelekte persoonsgegevens in een geavanceerd algoritme zijn versleuteld. Zolang de sleutel van het algoritme vertrouwelijk is, blijven de gegevens onbegrijpelijk. Dit maakt het onwaarschijnlijker dat er nadelige gevolgen zijn voor betrokken personen.
Zodra vaststaat dat er een inbreuk op de persoonsgegevens van de betrokkene heeft plaatsgevonden en er een waarschijnlijk risico aanwezig is, dient gemeld te worden. Er dient binnen 72 uur nadat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek een melden gemaakt te worden bij de AP. Een verwerkingsverantwoordelijke heeft kennis genomen van een datalek als hij hierover wordt geïnformeerd. Let op! Er is dan wel nog ruimte voor een onderzoek naar de omstandigheden en een beoordeling van de situatie (zoals in de voorgaande stappen weergegeven).
Een betrokkene meldt je onverwijld (zo snel mogelijk) dat er een datalek heeft plaatsgevonden.
Een verwerkingsverantwoordelijke heeft een verplichting tot het bijhouden van alle inbreuken in verband met persoonsgegevens. In dit geval gaat het niet alleen om de inbreuken waarvan een melding gemaakt moet worden, maar ook van datalekken waarbij geen meldplicht bestaat en toch sprake is van aantasting van:
De AVG geeft geen strikte termijn waarbinnen dergelijke gegevens bewaard moeten worden. Zolang er geen bewaartermijn wordt gegeven door een (andere) wettelijke bepaling, is het aan de verwerkingsverantwoordelijke om te bepalen wat de bewaartermijn van de gegevens is. Belangrijk is om hierbij te kijken hoelang het noodzakelijk is om de gegevens te bewaren volgens de doeleinden waarvoor de gegevens verwerkt zijn.
Het kan verstandig zijn om in een privacybeleid bepalingen op te nemen over een datalek, maar ook bijvoorbeeld over de bewaartermijn van persoonsgegevens. Mocht de AP dan ooit navraag doen over de gehanteerde bewaartermijnen, dan kun je de termijn verantwoorden.
Heb je te maken met een datalek? Wij helpen je graag met het onderzoeken of je de datalek dient te melden bij de AP en de betrokkenen.
Kunnen wij je hierbij helpen of heb je andere vragen? Neem dan vooral contact met ons op.
Arbeidsrecht en sociale zekerheid