Wat is een datalek?

Vraag

De AVG definieert een datalek als volgt: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”
Kort gezegd gaat het bij een datalek dus om een inbreuk op persoonsgegevens.

Volgens de richtlijnen van de Europese Autoriteiten Persoonsgegevens valt er onderscheid te maken in drie soorten inbreuken:

  • “De inbreuk op de vertrouwelijkheid”: Er is sprake van een onbedoelde verstrekking van of toegang tot persoonsgegevens.
  • “De inbreuk op de integriteit”: Er is sprake van een onbedoelde wijziging van persoonsgegevens.
  • “De inbreuk op de beschikbaarheid”: Er is sprake van onbedoeld verlies van toegang tot persoonsgegevens of een onbedoelde vernietiging van persoonsgegevens.

Voorbeelden datalek

In onder meer de volgende voorbeelden is dus sprake van een datalek:

  • een harde schijf met daarop een kopie van het personeelsbestand (met kopieën van hun identiteitsdocumenten) van een verwerkingsverantwoordelijke is gestolen of wordt verloren;
  • een klant van een bank heeft een rekeningoverzicht gekregen van de rekening van een ander;
  • het systeem van de verwerkingsverantwoordelijke wordt aangevallen door hackers en de gegevens worden versleuteld (een “ransomware-aanval”);
  • (een personeelslid van) de verwerkingsverantwoordelijke stuurt onbedoeld een e-mail met persoonsgegevens door naar een derde;
  • een e-mail wordt verzonden naar ontvangers in het veld “Aan” of “CC” in plaats van “BCC”, waardoor elke ontvanger de contactgegevens van de andere ontvangers ziet;
  • persoonsgegevens worden naar een verkeerde mailinglijst gestuurd, waardoor de ontvangers onbedoeld toegang krijgen tot de persoonsgegevens;
  • de verwerkingsverantwoordelijke verliest door een technische complicatie tijdens het updaten van de systeemsoftware een deel van het personeelsbestand, terwijl er geen back-ups bestaan.

Wie moet het datalek melden?

De verwerkingsverantwoordelijke moet het datalek melden. Ook als de verwerkingsverantwoordelijke een derde heeft ingeschakeld om de persoonsgegevens te verwerken (‘verwerker’), rust de meldplicht nog steeds op de verwerkingsverantwoordelijke. De verwerker is op grond van de AVG verplicht het datalek zo snel mogelijk te melden bij de verwerkingsverantwoordelijke. Wij adviseren u hier goede afspraken over te maken in de verwerkersovereenkomst.

Datalek melden bij AP en bij betrokkenen?

De AVG bepaalt dat als een datalek heeft plaatsgevonden, de verwerkingsverantwoordelijke deze zo snel mogelijk moet melden aan de Autoriteit Persoonsgegevens (AP), indien mogelijk uiterlijk binnen 72 uur nadat hij er kennis van heeft genomen.

Een datalek melden bij de AP, kan via het meldloket datalekken.

Als een datalek een groot risico inhoudt voor de rechten en vrijheden van de betrokkene(n), moet het datalek ook aan hen gemeld worden. Voorbeelden van een datalek met een hoog risico voor betrokkenen zijn:

  • uw server wordt gehackt, waarbij de namen en betaalgegevens van uw klanten toegankelijk worden voor de hackers;
  • u stuurt een e-mail met ziekteverzuimgegevens van uw werknemer per ongeluk naar het verkeerde adres toe;
  • u plaatst per ongeluk de contactgegevens (privételefoonnummer en privéadres) van uw nieuwe werknemer op de externe website, in plaats van op intranet, waardoor deze gegevens voor een ieder toegankelijk zijn.

Weet u niet of het datalek alleen aan de AP gemeld moet worden of ook aan betrokkenen?  Neem dan contact op met onze privacyrecht advocaten.

Moet elk datalek worden gemeld?

De hoofdregel is: ‘Melden, tenzij..’. Dit betekent dat elk datalek in principe moet worden gemeld bij de AP en als het datalek een hoog risico met zich meebrengt voor de privacy van de betrokkene, ook bij de betrokkene. Dit betekent dat niet elk datalek meldingsplichtig is. Een datalek hoeft niet aan de AP of de betrokkene te worden gemeld, als het niet waarschijnlijk is dat het datalek een groot risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Hierbij kunt u denken aan onder meer het volgende geval:

  • een USB-stick met daarop een kopie van het personeelsbestand van de verwerkingsverantwoordelijke is gestolen. De USB-stick is dermate goed beveiligd via versleuteling (‘state of the art encryptie’), dat niemand toegang kan krijgen tot de gegevens op de USB-stick zonder de sleutel. De sleutel bevindt zich nog bij de verwerkingsverantwoordelijke. Er hoeft dan geen melding te worden gedaan. Maar als u van de versleutelde gegevens geen back-up heeft, dan is sprake van een verlies. Dan moet er ondanks de versleuteling wel worden gemeld. Hetzelfde geldt als de sleutel later verloren raakt, of de versleuteling kwetsbaar blijkt, dan zal alsnog een melding bij de AP en de betrokkenen moeten worden gedaan.

Vraagt u zich af of er sprake is van een meldingsplichtig datalek?  Neem dan contact op met onze privacyrecht advocaten.

Incidentenregister

De verwerkingsverantwoordelijke moet op grond van de AVG alle datalekken documenteren in een incidentenregister. Dit register moet u zelf aanleggen. Dit geldt zowel voor de datalekken die meldingsplichtig zijn, als de datalekken die dat niet zijn.

In het incidentenregister moet het volgende worden beschreven:

  • de feiten over het datalek;
  • de gevolgen daarvan;
  • de genomen maatregelen.

Deze documentatieplicht is ingeroepen om de AP te helpen bij haar handhavingsplicht.

Heeft u nog vragen of heeft u te maken met een datalek of wilt u hulp bij het doen van een melding? Onze privacyrecht advocaten helpen u graag. Neem contact met ons op.