Datalekken
Al vanaf 1 januari 2016 ben je verplicht om – onder bepaalde omstandigheden – datalekken te melden. Een datalek treedt sneller op dan je denkt: wat dacht je bijvoorbeeld van een USB-stick met persoonsgegevens erop, die je vervolgens in de trein achterlaat? Zo’n 70%(!) van de datalekken wordt veroorzaakt door menselijk handelen. Het volledig voorkomen van een datalek is dan ook vrijwel niet haalbaar. Het creëren van bewustzijn is in ieder geval een stap in de goede richting. Met dit bewustzijn kunnen mogelijke hoge boetes van de Autoriteit Persoonsgegevens (AP) worden voorkomen.
Wanneer is sprake van een datalek?
De AVG omschrijft een datalek als volgt: “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Als je deze definitie leest, dan kan het mogelijk onduidelijk zijn wat een datalek in de praktijk is. Het begrip is zeer breed. Een datalek hoeft niet opzettelijk te zijn verricht. Het ziet op een inbreuk op de vertrouwelijkheid, integriteit en/of beschikbaarheid. Een verloren USB-stick of een ransomware-aanval vallen hieronder. Ook het verzenden van een e-mail aan de verkeerde persoon in dezelfde organisatie kan een datalek zijn, als de ontvanger normaal gesproken geen toegang tot deze persoonsgegevens heeft.
Wanneer moet een datalek worden gemeld?
Het is verstandig je bewust te zijn van wanneer een datalek gemeld moet worden en aan wie. Onder omstandigheden kan het voorkomen dat je een melding van het datalek moet doen aan de Autoriteit Persoonsgegevens. Deze melding moet gemaakt worden op het moment dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen. Denk hierbij bijvoorbeeld aan een groot aantal betrokkenen of aan gevoelige of bijzondere persoonsgegevens.
Een datalek moet altijd binnen 72 uur na de ontdekking worden gemeld. Bovendien kan het zo zijn dat je ook de betrokkene moet inlichten, op wie de gegevens betrekking hebben. Dit is het geval als de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van deze betrokkenen. Denk hierbij aan mogelijke identiteitsfraude of reputatieschade.
Een organisatie moet altijd een register bijhouden met datalekken, ook als het lek niet bij de AP gemeld hoeft te worden. Dan kun je als organisatie altijd aan de AP laten zien wat jouw afweging is geweest om een datalek wel of juist niet te melden. In het register legt de organisatie vast hoeveel betrokkenen geraakt worden door het datalek en welk type persoonsgegevens bij het datalek betrokken zijn.
Mogelijke consequenties van een datalek
Om ervoor te zorgen dat de AVG ook wordt nagekomen, is de AP opgericht. Zij zien toe op de naleving van de privacywet. Indien de Autoriteit constateert dat een organisatie zich niet aan de AVG houdt, dan kan de Autoriteit boetes opleggen. Deze boetes zijn niet mis! Het gaat om boetes tot zo’n 20 miljoen euro of 4% van de wereldwijde jaaromzet. Naast het opleggen van de boetes kan de AP lasten onder dwangsom opleggen. De AP deed dat al meerdere keren sinds de invoering van de AVG in 2018. Voor het niet of te laat melden van een datalek heeft de AP al meerdere (hoge) boetes opgelegd.
Als in strijd met de AVG wordt gehandeld, kan dat ook leiden tot aansprakelijkheid voor de daardoor geleden schade. De persoon die de schade lijdt, kan een schadevergoeding eisen. Bij (dreigende) schade wegens handelen in strijd met de AVG kan de rechter een verbod opleggen. Ook kan de rechter maatregelen opleggen tot herstel van de gevolgen.
De AP is dus bevoegd tot het opleggen van bestuurlijke boetes of tot de toepassing van bestuursdwang. Op het handelen in strijd met bepaalde artikelen uit de wet staan daarnaast strafrechtelijke sancties.
Veelgestelde vragen
In de meeste gevallen zijn in de opgestelde verwerkersovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker specifieke bepalingen omtrent datalekken opgenomen. Gebruikelijk is dat de verwerker onverwijld de verwerkingsverantwoordelijke op de hoogte stelt van een datalek en medewerking verleend aan eventuele onderzoeken. Mochten deze afspraken nog niet zijn gemaakt, dan is het verstandig om hierover in gesprek te gaan. Als je dat nodig vindt, kunnen wij juridische ondersteuning hierbij bieden.
Wij staan voor je klaar
Ben je slachtoffer van een datalek?
Neem dan snel contact met ons op, zodat we kunnen beoordelen welke stappen het beste genomen kunnen worden.