Datalek melden: aan welke regels moet je voldoen?

Als ondernemer ben je ongetwijfeld bekend met het belang van gegevensbeveiliging. Maar weet je ook wat je moet doen wanneer je met een datalek geconfronteerd wordt? In deze blogpost bekijken we enkele van de belangrijkste zaken die je in gedachten moet houden bij het melden van een datalek, zodat je voorbereid bent wanneer er zich een datalek voordoet.

Wat is een datalek ?

Volgens de AVG is een datalek een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Een datalek kan zich gemakkelijk voordoen.

Een voorbeeld: Een USB-stick waarop persoonsgegevens staan wordt gestolen tijdens een inbraak. Dit is waarschijnlijk een datalek, aangezien de persoonsgegevens toegankelijk zijn geworden voor onbevoegden. Als de persoonlijke gegevens gevoelige informatie bevatten, zoals creditcardnummers of BSN-nummers, kan dit leiden tot identiteitsdiefstal of financiële fraude.

Moet je een datalek melden aan de AP?

Als er sprake is van een datalek dient de verwerkingsverantwoordelijke dit zonder onredelijke vertraging aan de AP te melden, en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen. Deze melding hoeft niet te worden gedaan indien het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. De WP29 vindt dat een verwerkingsverantwoordelijke geacht moet worden “kennis” te hebben gekregen van een inbreuk wanneer hij een redelijke mate van zekerheid heeft dat zich een incident heeft voorgedaan dat heeft geleid tot de compromittering van persoonsgegevens. Natuurlijk kan het lastig zijn om te bepalen wanneer een verwerkingsverantwoordelijke precies geacht kan worden deze kennis te hebben verkregen – in sommige gevallen zal het direct duidelijk zijn dat er een inbreuk heeft plaatsgevonden, terwijl het in andere gevallen enige tijd kan duren om het lek vast te stellen. Tot slot zal de verwerker de verwerkingsverantwoordelijke zonder onredelijke vertraging moeten informeren zodra hij kennis heeft genomen van een datalek.

Moet je een datalek melden aan betrokkenen?

In bepaalde gevallen moet de verwerkingsverantwoordelijke een datalek niet alleen melden aan de AP, maar ook meedelen aan de betrokkenen. Als er een kans is dat iemands gegevens gecompromitteerd zijn, moet de betrokkene daar zo snel mogelijk (“onverwijld”) van op de hoogte worden gesteld. Zo kan de betrokkene stappen ondernemen om zichzelf te beschermen, zoals het veranderen van een wachtwoord of het blokkeren van een creditcard. De melding hoeft enkel aan de betrokkene te worden gedaan indien het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.

Wat kan er niet ontbreken in de melding?

• een beschrijving van de aard van de inbreuk;

• de naam en contactgegevens van de FG of een ander contactpunt;

• een beschrijving van de waarschijnlijke gevolgen van de inbreuk; en

• een beschrijving van de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk aan te pakken.

De melding aan de betrokkene is niet vereist wanneer de verwerkingsverantwoordelijke, voordat het lek plaatsvond, passende maatregelen heeft getroffen zodat de persoonsgegevens onbegrijpelijk zijn voor onbevoegden (via versleuteling bijvoorbeeld), de verwerkingsverantwoordelijke achteraf maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen, of de mededeling een onevenredige inspanning zou vergen. In dat laatste geval zou je met een openbare mededeling de betrokken kunnen informeren.

Er zij op gewezen dat de beoordeling van het risico voor de rechten en vrijheden van betrokkenen als gevolg van het datalek niet hetzelfde is als de beoordeling van het risico in het kader van een DPIA. Bij een DPIA gaat men immers uit van hypothetische situaties (“wat als”) en dit verschilt natuurlijk van een daadwerkelijke inbreuk.

Waar moet je op letten bij de beoordeling van het risico?

Bij de beoordeling van het risico door de verwerkingsverantwoordelijke beveelt de WP29 aan om rekening te houden met de volgende criteria:

  • De aard van de inbreuk
  • De aard, gevoeligheid en omvang van de persoonsgegevens
  • Gemak waarmee personen kunnen worden geïdentificeerd 
  • Ernst van gevolgen voor personen
  • Bijzondere kenmerken van de persoon
  • Bijzondere kenmerken van de verwerkingsverantwoordelijke 
  • Het aantal getroffen persoon 

Bij een datalek is het belangrijk te weten hoe je moet handelen. In de meeste gevallen zul je eerst (samen met de IT-afdeling) de omvang van de inbreuk vast moeten stellen en erachter zien te komen welke informatie is gecompromitteerd. In sommige gevallen zul je contact moeten opnemen met de AP en/of betrokkenen.

Het is belangrijk om bewust te zijn van de risico’s van datalekken en hoe je ze kunt voorkomen. Wil je meer informatie van onze privacy officers over (het voorkomen van) datalekken? Neem dan gerust contact op.

Scroll naar top

Waar kunnen we bij helpen?