European Data Protection Day: wat te doen bij een datalek?

Vandaag is het de Europese Dag van de Privacy. Deze dag is door de Raad van Europa in het leven geroepen om aandacht te vragen voor de bescherming van persoonsgegevens. Een goed moment om een specifiek onderdeel van de Algemene Verordening Gegevensbescherming (AVG) nader toe te lichten: de meld- en documentatieplicht bij datalekken.

 
Inbreuk in verband met persoonsgegevens

In de AVG komt het begrip ‘datalek’ niet voor. In de AVG wordt enkel verwezen naar het begrip ‘inbreuk in verband met persoonsgegevens’. Dit is een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, wijziging en/of ongeoorloofde toegang tot persoonsgegevens. In deze blog zal het woord ‘datalek’ worden gebruikt voor dergelijke inbreuken. Mocht uw organisatie getroffen zijn door een datalek, dan is het belangrijk om snel en zorgvuldig te handelen. De stappen die u dient te ondernemen zullen hierna uiteen worden gezet.

 
1. Inventariseer of er een melding van het datalek moet worden gemaakt bij de Autoriteit Persoonsgegevens (AP)

U moet een datalek melden bij de AP, indien het datalek een risico vormt voor de rechten en vrijheden van de betrokkene(n). Bij het beoordelen van het risico moet u kijken naar de aard en gevoeligheid van de persoonsgegevens die zijn gecompromitteerd, het aantal personen dat is getroffen door het datalek en de ernst van de gevolgen die daar (mogelijk) uit kunnen voortvloeien.[1] Een datalek dient binnen 72 uur na kennisname gemeld te worden bij de AP. Dit kan via een online formulier op de website van de AP.[2] Daarin wordt onder meer gevraagd naar de volgende informatie:

1. Algemene informatie over het datalek: U moet de AP informatie geven over wat er is gebeurd, het soort persoonsgegevens dat is gecompromitteerd en de categorieën van betrokkenen voor wie het datalek een risico zou kunnen vormen.
2. Naam en contactgegevens van de functionaris voor de gegevensbescherming (FG): De AP moet contact met uw organisatie kunnen opnemen wanneer zij aanvullende gegevens nodig heeft. Als uw organisatie geen FG heeft, kunt u volstaan met het vermelden van een andere contactpersoon bij wie de AP aanvullende informatie kan opvragen
3. Waarschijnlijke gevolgen van het datalek: U moet aangeven welke risico’s er zouden kunnen bestaan voor de betrokkene(n). Daarbij kan gedacht worden aan identiteitsfraude en/of (financiële) schade.
4. Getroffen maatregelen: Tot slot dient u aan de AP door te geven welke technische en organisatorische maatregelen er zijn getroffen om het datalek aan te pakken en in de toekomst te voorkomen. Vermeld daarbij ook de maatregelen die bedoeld zijn om de nadelige gevolgen van het datalek te beperken.

 
2. Ga na of de betrokkenen geïnformeerd moeten worden over het datalek

Een datalek moet aan de betrokkene(n) worden medegedeeld, indien het datalek een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene(n). Er is sprake van een hoog risico, als het datalek betrekking heeft op bijzondere persoonsgegevens en/of het datalek kan leiden tot lichamelijke of (im)materiële schade. Het informeren van de betrokkene(n) dient zo spoedig mogelijk na kennisname van het datalek te geschieden Een betrokkene hoeft niet geïnformeerd te worden, indien:

1. er passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen (e.g. versleuteling);
2. er achteraf maatregelen zijn genomen die ervoor zorgen dat het hoge risico voor de rechten en vrijheden van de betrokkenen zich waarschijnlijk niet meer zal voordoen; en/of
3. het informeren van de betrokkene(n) een onevenredige inspanning zou vergen. U kunt dan volstaan met een openbare mededeling (e.g. via de website).

 
3. Voldoe aan de documentatieplicht

Op grond van artikel 33 lid 5 AVG dient u ervoor te zorgen dat iedere beveiligingsinbreuk wordt gedocumenteerd. De AP moet namelijk kunnen controleren of de meld- en mededelingsplicht wordt nageleefd. Informatie omtrent een datalek kunt u bijvoorbeeld registreren in een intern datalekkenregister. Heeft u vragen over de meld-, mededelings- en/of documentatieplicht? Neem dan gerust contact met ons op. Dit artikel is geschreven door Robin Verhoef. [1] WP 29 “Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679”, (WP 250), 3 oktober 2017, p. 27 t/m 30. [2] https://datalekken.autoriteitpersoonsgegevens.nl/