Sla een krant open en bijna dagelijks wordt erover bericht: datalekken. Maar wat doe je als je eigen bedrijf of organisatie hiermee te maken krijgt? Moet ik een datalek / inbreuk melden aan de Autoriteit Persoonsgegevens of betrokkenen? Of kan ik het negeren?
Allereerst: de privacywetgeving (de AVG) kent de term “datalek” niet.
In de AVG wordt gesproken van een “inbreuk in verband met persoonsgegevens”. Voor de leesbaarheid wordt de term “datalek” gebruikt in dit artikel.
Daarnaast kunnen datalekken worden opgedeeld in drie niveau’s:
- Een datalek dat enkel intern geregistreerd hoeft te worden (Art. 33 lid 5 AVG).
- Een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens.
- Een datalek dat bij de Autoriteit Persoonsgegevens én de betrokkene* moet worden gemeld.
*Een betrokkene is iemand van wie de persoonsgegevens zijn “gelekt”.
Is er sprake van een datalek?
Voordat we van een datalek spreken, spreken we van een (beveiligings)incident. Hierbij is er iets voorgevallen, maar zijn er niet per se persoonsgegevens bij betrokken.
Voorbeeld van een incident: de firewall van de server stond uitgeschakeld waardoor derden toegang konden krijgen tot de server. Zolang er geen persoonsgegevens op de server stonden -of- zeker is dat er geen onbevoegden op de server hebben kunnen rondneuzen, spreken we van enkel een incident en géén datalek.
Hebben we te maken met een incident én zijn er persoonsgegevens bij betrokken, dan spreken we van “inbreuk in verband met persoonsgegevens” (lees: een datalek).
Wat doe ik als ik een datalek ontdek?
Wanneer je zelf een datalek veroorzaakt hebt of er één ontdekt, kan je het datalek binnen de organisatie melden bij het CERT-team. CERT staat voor Computer Emergency Response Team. Zij doen onderzoek en betrekken daar vaak ook de privacy-professionals bij.
Is er geen CERT-team, dan kan je het incident/datalek melden bij een van de volgende specialisten: CISO (Chief Information Security Officer), ISO (Information Security Officer), CPO (Chief Privacy Officer), privacy officer of de functionaris gegevensbescherming. Ben je zelf een van deze specialisten, dan zijn de volgende vragen relevant voor de afhandeling van het datalek.
Bij het afhandelen van een inbreuk in verband met persoonsgegevens zijn er drie vragen te stellen:
- Betreft het hier een datalek in de zin van de Algemene Verordening Gegevensbescherming (“AVG”)?
- Zo ja, moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens?
- Zo ja, moet het datalek ook worden gemeld aan de betrokkenen?
Een datalek met beperkte impact; een licht datalek
Nadat bekend is geworden dat een incident ook een datalek is, is de eerste stap om te onderzoeken wat de omvang en impact van het datalek is. De AVG vermeldt een verplichting tot melden van een datalek aan de Autoriteit Persoonsgegevens tenzij.
Die tenzij is in het geval dat:
[..] het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
– Artikel 31 lid 1 AVG
Het lastige is dat de organisatie/bedrijf zelf moet bepalen of een datalek een grote of beperkte impact heeft (op de zogenaamde “rechten en vrijheden” van de betrokkene). Daarbij speelt de omvang en het type persoonsgegevens een rol.
Heeft het datalek dus geen impact op de rechten/vrijheden van de medewerker, klant, scholier of andere betrokkene, dan bestaat alleen de verplichting om het datalek intern te registreren. Verreweg de meeste(!) datalekken zijn datalekken met een beperkte impact; hier lees je dus niet over in de krant.
Naast het intern registreren van een datalek, staat het de organisatie vrij om het datalek alsnog te melden aan de betrokkenen. Je kan de mensen die “geraakt” zijn altijd berichten of zelfs bellen.
Een datalek met impact
Gaat het om een serieuzer datalek, dan heeft de organisatie 72 uur de tijd om het datalek bij de Autoriteit Persoonsgegevens te melden in het Meldloket. De 72 uur gaan in op het moment dat het datalek ontdekt is door de organisatie.
Bij het melden van het datalek dienen gegevens ingevuld te worden over het tijdstip, aard, omvang van het datalek, maar ook welke maatregelen genomen zijn om verdere (nadelige) gevolgen te beperken. Ga je een datalek niet melden aan de betrokkenen, dan moet je uitleggen waarom je hen niet informeert.
TIP: het formulier “Meldplicht datalekken” is tussentijds op te slaan en later weer in te laden. Werk je voor een grotere organisatie met meer datalekken, dan kan het aan te raden zijn om een “basis-formulier” te maken zodat gegevens over de organisatie en de FG niet steeds opnieuw hoeven te worden ingevuld.
Een datalek met een hoog risico, dus een zwaar datalek
De zwaarste categorie datalekken zijn tevens de datalekken waarover we lezen in de krant. Dit zijn datalekken waarbij grote groepen mensen betrokken zijn of de gegevens erg gevoelig zijn.
Voorbeelden zijn de patientendossiers die op straat zijn komen te liggen of gestolen creditcardgegevens.
Deze datalekken moeten niet enkel aan de Autoriteit Persoonsgegevens worden gemeld, maar ook aan de betrokkenen (de mensen waarvan de persoonsgegevens zijn “gelekt”) worden gemeld. Voor de liefhebber: artikel 34 van de AVG.
In de melding aan de betrokkene zijn de volgende onderdelen verplicht:
[..] een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 33, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen”
– Artikel 34 lid 1 AVG
De gegevens in artikel 33 lid 3 AVG gaan over:
- de naam en contactgegevens van de functionaris gegevensbescherming of een ander contactpunt;
- de (waarschijnlijke) gevolgen van het datalek;
- de maatregelen die zijn genomen om het datalek te beperken of de gevolgen te verminderen.
Hulp bij de afhandeling van een datalek
Heb je geen idee hoe om te gaan met een datalek of wat je precies moet invullen bij de Autoriteit Persoonsgegevens? Neem dan contact met ons op.
Wij hebben ervaring met het afhandelen van datalekken (>500 datalekken). Contact opnemen mag ook om enkel te sparren.