Tot je schrik heb je net vernomen dat er een datalek is geweest in jouw organisatie. Misschien waren het kwaadwillige hackers die persoonlijke gegevens van de bedrijfsserver hebben gehaald, of was het een werknemer die per ongeluk een USB-stick vol gevoelige informatie in de trein heeft laten liggen. Je vraagt je af wat je nu moet doen. Welke stappen moet je zetten? Moet elke datalek gemeld worden, of alleen de ‘ernstige’ gevallen? Ofwel: “wanneer (en hoe) moet ik een datalek melden?” In deze blog geven onze juristen je het antwoord.
Wat is een datalek?
De term ‘datalek’ is geen wettelijk begrip. In plaats daarvan wordt er in de Algemene verordening gegevensbescherming (AVG) gesproken over een ‘inbreuk in verband met persoonsgegevens’ en dat is:
een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
Eigenlijk dekt de term ‘datalek’ bovenstaande definitie dus prima: het gaat namelijk om die situaties waarin er data (persoonsgegevens) is gelekt. Of dat opzettelijk gebeurt (hackers, malware, phishing, etc.) of per ongeluk (usb-stick in de trein laten liggen) maakt dus niet veel uit. De data is namelijk onbedoeld verloren gegaan of terechtkomen op een plek waar het niet thuishoort.
Voorbeelden van datalekken
De volgende hypothetische situaties zouden als ‘datalek’ kunnen worden beschouwd (geen limitatieve opsomming):
- Je wilt een marketing-mail versturen waarin je jouw nieuwe online aanbod promoot. De mail wordt verstuurd naar alle ontvangers in het veld ‘Aan’ / ‘CC’ (in plaats van het BCC-veld). Hierdoor ziet een ontvanger van jouw marketing-mail niet alleen jouw prachtige nieuwe aanbod, maar ook alle e-mailadressen van de andere ontvangers van jouw mail.. oeps!
- Je bent coach en verstuurt aan jouw klanten altijd na afloop van een sessie een overzicht van hetgeen jullie hebben besproken. Deze keer verstuur je de e-mail, inclusief het overzicht, helaas aan de verkeerde ontvanger.
- Jouw werknemer laat een USB-stick bomvol niet-versleutelde data, slingeren in de trein.
- Door een cyberaanval liggen alle gebruikersnamen en wachtwoorden van jouw klanten ‘op straat’.
Wanneer moet je een datalek melden aan de toezichthouder?
Sinds de invoering van de AVG ben je als organisatie verplicht om een datalek te melden aan de toezichthoudende autoriteit (de Autoriteit Persoonsgegevens) en – in sommige gevallen – aan de betrokken individu(en). Daarnaast ben je trouwens ook verplicht om het datalek te registreren.
Laten we echter vooropstellen dat niet elke datalek hoeft te worden gemeld aan de Autoriteit Persoonsgegevens. Als een datalek geen risico met zich meebrengt voor de rechten en vrijheden van individu(en), hoeft een datalek namelijk niet te worden gemeld. Je zal als organisatie dus zelf een risico-inschatting moeten maken. Daarbij is het belangrijk dat je:
- Inschat hoe waarschijnlijk het is dat het risico zich ook daadwerkelijk zal voordoen, en;
- Bepaalt wat de impact is op de betrokkene(n) als het risico zich voordoet.
Een ‘lek’ van medische gegevens, bijvoorbeeld, zal veel impact hebben op de betrokkene(n) en zal dan ook moeten worden gemeld aan de autoriteit.
Goed, je zal dus als organisatie zelf een risico-inschatting moeten maken. Wees daarbij zo objectief mogelijk. Je zou in ieder geval de volgende factoren kunnen meewegen:
- Hoe gevoelig zijn de gegevens?
- Gaat het om een grote hoeveelheid persoonsgegevens?
- Hoeveel betrokkene(n) worden geraakt door de lek?
- Wat zou de impact zijn op de betrokkene? Als een datalek bijvoorbeeld zou kunnen leiden tot identiteitsdiefstal, heeft dat natuurlijk een enorme impact op de betrokkene(n).
Ben je tot de conclusie gekomen dat je de datalek moet melden? Dan zal jij (ervan uitgaande dat je de verwerkingsverantwoordelijke bent) de lek zo snel mogelijk moeten melden aan de autoriteit, maar in ieder geval binnen 72 uur. Deze 72-uur periode start op het moment dat jij op de hoogte bent geraakt van het datalek. Daarom is het bijvoorbeeld belangrijk om in een verwerkersovereenkomst hierover afspraken te maken met jouw (sub-)verwerkers.
Wie moet ik op de hoogte stellen bij een datalek?
Hierboven hebben we uiteengezet wanneer je de toezichthoudende autoriteit op de hoogte moet brengen van een datalek binnen jouw organisatie. Moet je nou ook nog de betrokkene(n) informeren?
Het antwoord? “Dat hangt ervan af’.
Je hoeft de betrokkene(n) alleen te informeren als het datalek een hoog risico voor hun rechten en vrijheden oplevert.
Er is pas sprake van een hoog risico als het datalek kan leiden tot “lichamelijke, materiële of immateriële schade” voor de desbetreffende personen. Denk bijvoorbeeld aan reputatieschade, discriminatie, identiteitsfraude, financiële schade, enzovoorts.
Hoe meld je een datalek?
Via de website van de Autoriteit Persoonsgegevens (i.e. het meldloket datalekken om precies te zijn) dien je een datalek te melden aan de toezichthoudende autoriteit. Sinds kort is het ‘nieuwe meldformulier datalekken’ online. Het nieuwe formulier zou een stuk gebruiksvriendelijker moeten zijn. Zo kan je als gebruiker, het formulier tussentijds opslaan, indien gewenst. Goed, het melden van een datalek is dus gemakkelijk geworden en dat is belangrijk, aangezien het niet doen van een juiste melding, tot hoge boetes kan leiden.
Is er sprake van een ‘hoog risico’ en moet je dus ook de betrokkene(n) informeren? Dan raden we je aan dit schriftelijk of per e-mail te doen.
Moet ik een datalek ook registreren?
Ja, dat moet! Er bestaat helaas nog wel eens het misverstand dat het voldoende is om een datalek te melden. Dat is echt evident onjuist. De hoofdregel is dat ieder datalek moet worden geregistreerd. Zelfs als een datalek dus niet hoeft te worden gemeld aan de toezichthoudende autoriteit (er is geen ‘risico’ aanwezig), moet het datalek dus wel door jouw organisatie worden geregistreerd. Je hebt als organisatie dus een datalekregister nodig, waarin je elk datalek (hopelijk zijn dat er natuurlijk niet veel) zorgvuldig documenteert.
Hulp nodig van een jurist?
Het is belangrijk dat je op tijd (en op de juiste manier) het datalek meldt & registreert. Het op de juiste wijze melden van datalekken, is een secuur werkje. Daarom kan het verstandig zijn om hierbij een jurist te betrekken. Stuur ons dan ook gerust een bericht (of boek een adviesgesprek) als je onze hulp kan gebruiken.