Willemsbrug - Maaskade

Datalekken

Meldplicht datalekken nieuw?


De meldplicht datalekken uit de AVG is grotendeels vergelijkbaar met de meldplicht die onder de Wbp (Wet bescherming persoonsgegevens) al in 2016 werd geïntroduceerd. Nieuw is de verplichting om voortaan alle datalekken in het interne register van uw organisatie op te nemen – dus niet alleen de aan de toezichthouder gemelde datalekken.

Wat is een datalek?


Hulp bij datalekken Het begrip datalek is breder dan de term suggereert (het ‘weglekken’ van data). Bij een datalek gaat het om een inbreuk op de beveiliging waardoor persoonsgegevens in verkeerde handen zijn gevallen, kwijt zijn geraakt of ontoegankelijk zijn geworden. Het is dus een veiligheidsincident waarbij persoonsgegevens gecompromitteerd zijn geraakt. Het versturen van persoonsgegevens aan verkeerde personen is het meest voorkomende type datalek. Op de tweede plaats staat het kwijtraken (of de diefstal) van gegevensdragers, zoals laptops en usb-sticks. Maar ook cyberincidenten als een ransomware- of DDoS-aanval kunnen een datalek zijn.

In de praktijk komt het regelmatig voor dat men een datalek 'onder de pet' wil houden en geen melding bij de toezichthouder doet. Dit is niet verstandig: op het niet-melden van een ernstig datalek staat een hoge boete. De AP heeft dit onderwerp zelfs tot speerpunt in haar toezichtkader 2018-2019 gemaakt. Daarnaast maakt een organisatie die geen meldingen doet zichzelf verdacht. Immers, elke organisatie krijgt weleens te maken met incidenten als het zoekraken van een laptop of het versturen van reguliere post of e-mail naar de verkeerde personen.

Meldplicht - wanneer melden aan toezichthouder?


Het hangt van de ernst van een datalek af of een organisatie verplicht is een melding te doen bij de toezichthouder, de Autoriteit Persoonsgegevens (AP) . De AVG geeft aan dat een lek moet worden gemeld tenzij het onwaarschijnlijk is dat het datalek leidt tot risico's voor de rechten en vrijheden van natuurlijke personen. Het hangt van de omvang (o.a. aantal betrokkenen, aantal persoonsgegevens) én de aard (o.a. gevoeligheid van de gegevens) van het datalek af of er sprake is van een meldensplichtig incident.
Een datalek moet in principe binnen 72 uur na ontdekking bij de toezichthouder worden gemeld. Dient u de melding later in, dan moet u daarvoor een heel goede reden hebben – en deze ook uitleggen op het meldingsformulier. Met 'we waren onderbezet vanwege de vakantie' zult u in zo’n geval niet wegkomen.

Meldplicht - wanneer melden aan betrokkenen?


In sommige gevallen moet een lek óók worden gemeld aan de personen van wie de gegevens zijn gelekt. Dit is het geval als het lek waarschijnlijk leidt tot een hoog risico voor hun rechten en vrijheden. Hierbij kunt u denken aan schade in de vorm van identiteitsfraude of discriminatie, maar ook aan reputatie-, financiële en andere schade.

Voor het informeren van de betrokkenen ligt de lat hoger dan voor het melden aan de toezichthouder. Pas als u hebt bepaald dat een incident moet worden gemeld aan de toezichthouder, maakt u de afweging om al dan niet de betrokkenen te informeren. Overigens kunt u natuurlijk ook als de AVG u daartoe niet verplicht de betrokkenen informeren.

Wanneer opnemen in intern register?


Elk datalek, dus ook de niet gemelde, moet worden opgenomen in uw interne register, inclusief een beschrijving van de feiten, de gevolgen en de corrigerende maatregelen die u hebt genomen. Op verzoek dient u dit register aan de Autoriteit Persoonsgegevens te tonen. Deze kan daarmee controleren of u aan de meldplicht hebt voldaan.

Meer informatie over datalekken


Op onze zusterwebsite Justitia.NL is nog veel meer informatie te vinden over datalekken, inclusief tips om ze te voorkomen.
Lees meer over: datalekken
Vragen over datalekken? Hebt u hulp nodig bij het inrichten van uw interne register of het opstellen van een datalekprocedure?
Neem contact met mij op:
Annemarie Vervoordeldonk
Privacy consultant LLM, CIPP/E, CIPM
Certified consultant PrivacyPerfect
Annemarie Vervoordeldonk : privacyjurist & FG/DPO