Datalekken zijn veel in het nieuws. Denk aan datingsites die gehackt worden en aan medewerkers die onrechtmatig patiëntgegevens raadpleegden. Dit soort incidenten komen veelvuldig bij vrijwel alle bedrijven voor. Desalniettemin worden datalekken niet altijd goed opgemerkt, opgepakt en afgehandeld. Wat is nou precies een datalek? En wat kan, en vooral, moet u doen in het geval (u het vermoeden heeft) van een datalek?
AVG & datalekken
Als wij verwijzen naar een datalek, bedoelen wij een beveiligingsincident waarbij persoonsgegevens zijn betrokken. Op dergelijke datalekken is de Algemene verordening gegevensbescherming (AVG) van toepassing. Eerst behoefte aan een introductie van de AVG? Lees dan de blog ‘AVG uitgediept’.
Bij een datalek is sprake van een inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan (verlies) of persoonsgegevens toegankelijk zijn geweest voor of in handen zijn gevallen van derden (onrechtmatige verwerking). Daarbij maakt het niet uit of de inbreuk opzettelijk of per ongeluk heeft plaatsgevonden. Als een organisatie voor de beveiliging van de systemen een verouderde versie van antivirussoftware gebruikt, is wellicht sprake van een beveiligingslek, maar hoeft nog geen sprake te zijn van een datalek. Zodra echter een virusbesmetting van de systemen tot gevolg heeft dat persoonsgegevens toegankelijk zijn geworden voor derden, is wel sprake van een datalek. Andere voorbeelden van beveiligingsincidenten waarbij sprake kan zijn van een datalek zijn onder meer:
- een gerichte aanval door hackers
- diefstal van een computer, telefoon of laptop
- het verlies van een dossier, USB-stick of andere gegevensdrager
- een besmetting door malware als ransomware of cryptoware
- het weggooien van een vertrouwelijk dossier met het gewone oud papier
- verzending van een e-mail met persoonsgegevens aan de verkeerde persoon
- het verlies van een wachtwoord
- een software- of installatiefout waarbij mogelijk gegevens verloren zijn gegaan
- het inzien van dossiers door daartoe onbevoegde werknemersbrand in een datacentrum
Het melden van een datalek
Het is belangrijk dat wanneer u een (mogelijk) datalek constateert of vermoedt, dit direct onderzocht wordt. Onder de AVG bestaat namelijk de verplichting een datalek te melden bij de toezichthouder, de Autoriteit Persoonsgegevens (AP), en in voorkomend geval bij diegene(n) waarvan persoonsgegevens betrokken waren bij het datalek (de betrokkene).
Melden bij de AP
Het uitgangspunt is dat ieder datalek binnen 72 uur na de ontdekking daarvan door de verwerkingsverantwoordelijke gemeld moet worden bij de AP. Het melden is niet verplicht als het risico op nadelige gevolgen voor de betrokkene(n) beperkt is. Met die reden heeft iedere organisatie dan ook in beginsel 72 uur om te onderzoeken of het datalek een risico vormt voor de betrokkene(n). Wat precies bij de AP gemeld moet worden, staat beschreven in artikel 33 lid 3 van de AVG.
Of het risico beperkt is, moet worden beoordeeld aan de hand van verschillende factoren, waaronder de omvang van het datalek, de aard van de gelekte gegevens (bijvoorbeeld gevoelige en/of bijzondere persoonsgegevens), het aantal betrokken personen van wie persoonsgegevens zijn gelekt en de positie van de getroffen betrokkenen. Naarmate de persoonsgegevens van grotere aantallen personen verloren zijn gegaan of mogelijk zijn blootgesteld aan onrechtmatige verwerking, moet eerder een melding gemaakt worden bij de AP.
Melden bij de betrokkene(n)
Wanneer het datalek waarschijnlijk een hoog risico inhoudt op nadelige gevolgen voor de betrokkene(n), moet het datalek ook gemeld worden bij de betrokkene(n). Het doel van deze melding is om de betrokkene in staat te stellen zichzelf te beschermen tegen de verwezenlijking van een dergelijk risico. Om het risico in te schatten, moet u dan ook nagaan wat in de praktijk zou kunnen gebeuren met de gelekte persoonsgegevens, zoals discriminatie, identiteitsdiefstal en fraude. Wat precies aan de betrokkene gemeld moet worden, is opgenomen in artikel 34 lid 3 van de AVG.
De AVG bevat uitzonderingen op het melden bij de betrokkenen. Er hoeft geen melding aan de betrokkene te worden gedaan als passende beschermingsmaatregelen zijn getroffen zoals versleuteling, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor derden. Daarnaast hoeft geen melding aan betrokkenen te worden gedaan, als achteraf maatregelen zijn genomen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen of als een melding onevenredige inspanningen zou vergen. In het laatste geval volstaat dan bijvoorbeeld ook een openbare mededeling die even doeltreffend is.
Let op: het is essentieel dat uw organisatie specifieke regels/processen heeft voor zowel het intern als extern melden van datalekken.
Datalekkenregister
Op grond van de AVG moeten organisaties van alle datalekken een overzicht bijhouden, waaronder dus ook van de niet-meldingsplichtige datalekken. In dit overzicht wordt bijgehouden wat de feiten en gevolgen van het datalek zijn en wat de genomen maatregelen tot herstel zijn.
Hoe lang de overzichten moeten worden bewaard, is in de AVG niet bepaald. Uit de richtlijnen van de AP ten aanzien van de reeds vervallen Wet bescherming persoonsgegevens volgde een termijn van minimaal één jaar.
Sancties voor het niet naleven van de AVG
Een datalek kan een organisatie flinke imagoschade opleveren. Daarnaast kan de AP een boete opleggen voor het niet naleven van de AVG. Een boete op grond van de AVG kan oplopen tot 20 miljoen euro of 4% van de wereldwijze jaaromzet. De AP stelde eerder in 2019 boetebeleidsregels vast, waarin een boetecategorie wordt gekoppeld aan de verplichtingen volgend uit de AVG. Voor artikelen 33 (het melden aan de AP) en 34 (het melden aan de betrokkene) van de AVG geldt boetecategorie III. Dit houdt in dat een boete tussen de 300.000 euro en 750.000 euro ligt. Als de AP oordeelt dat een boetecategorie in een specifiek geval geen passende bestraffing oplevert, kan de AP hiervan afwijken.