Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Wat te doen bij datalekken?

18 september 2019 Door

Vrijwel dagelijks verschijnen ze in het nieuws: datalekken. Of het nu bij de overheid is, het mkb of een van de techgiganten, elke organisatie heeft ermee te maken. Zo werden er in 2018 maar liefst 20.881 datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld, een verdubbeling ten opzichte van 2017. Wij krijgen vaak de vraag wat een datalek nu precies is, hoe je hier het beste op kunt reageren, en of de AP meteen op de stoep staat na een datalek. In deze blog beantwoorden we deze veelgestelde vragen.

Wat is een datalek en hoe herken ik er een?

De eerste stap naar een datalek is dat er sprake is van een inbreuk op de beveiliging. Op grond van de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties voldoende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Waterdichte beveiliging bestaat echter niet, en dat wordt dan ook niet verwacht. De AVG vereist een beveiligingsniveau dat is afgestemd op het risico van de verwerkingen. Voor bijzondere persoonsgegevens gelden daarom extra strenge maatregelen.

Een inbreuk op de beveiliging betekent dat er iets is gebeurd dat niet in lijn is met de genomen beveiligingsmaatregelen of het -beleid. Om te spreken van een datalek, moet de beveiligingsinbreuk ‘per ongeluk of op onrechtmatige wijze’ leiden tot een verkeerde verwerking. Datalekken kunnen dus niet alleen ontstaan door bijvoorbeeld hacks en aanvallen, maar ook (juist) door menselijke foutjes. De wet houdt hier rekening mee.

Tot slot moet worden gekeken of het incident een risico of zelfs een hoog risico oplevert voor de betrokkene(n). Een datalek dat geen risico voor de betrokkene(n) oplevert, hoeft namelijk niet te worden gemeld. Dit dient wel intern geregistreerd te worden.

De AP heeft eerder dit jaar enkele voorbeelden van datalekken gepubliceerd:

  • Een direct-marketingmail wordt verzonden naar ontvangers in “CC” in plaats van in “BCC”. Hierdoor ziet iedere ontvanger het mailadres van iedere andere ontvanger.
  • Een onlinedienst wordt gehackt, waardoor klantgegevens geëxtraheerd konden worden.
  • Alle persoonsgegevens binnen een organisatie zijn ontoegankelijk door een ransomware-aanval.
  • Een DDOS-aanval leidt ertoe dat een ziekenhuis gedurende 30 uur medische dossiers niet in kan zien.
  • Persoonsgegevens van een groot aantal studenten worden naar de verkeerde mailinglijst verzonden.

Wat moet ik doen als ik een datalek ontdek?

De verwerkingsverantwoordelijke moet een datalek binnen 72 na ontdekking melden bij de toezichthouder. Het is daarom belangrijk dat medewerkers weten wat een datalek is, hoe ze dit kunnen herkennen en wie verantwoordelijk is voor een eventuele melding bij de AP. Behulpzaam hierbij is het hanteren van een calamiteitenplan datalekken, waarin de procedures duidelijk worden uitgelegd.

Ben je veelal verwerker van persoonsgegevens, dan kun je een meldplicht richting je klanten hebben. De wet zegt niet binnen welke termijn deze melding moet worden gedaan, maar dit dient in ieder geval ‘zonder onredelijke vertraging’ na ontdekking te gebeuren. Hier dienen duidelijke afspraken over te worden gemaakt in de verwerkersovereenkomst.

Leidt een datalek tot een hoog risico voor betrokkenen? Dan dienen ook die betrokkenen (in begrijpelijke taal!) te worden geïnformeerd over wat er precies is gebeurd en wat de gevolgen kunnen zijn. Ook dienen zij te horen waar ze terecht kunnen voor meer informatie en of ze zelf nog maatregelen kunnen nemen. De manier waarop is vormvrij: dit mag per mail, maar ook telefonisch of in persoon.

Heb je de maken met een datalek of een beveiligingsincident? Beide dienen in ieder geval intern te worden geregistreerd in een datalekkenregister.

Leidt een datalek tot een boete?

Een datalek levert niet altijd een boete op. Wanneer de beveiliging op orde is, en een datalek netjes wordt gemeld, hoeft de melder zich in principe geen zorgen te maken. Is de beveiliging echter niet op orde en wordt een datalek gemeld, dan kan dit inderdaad leiden tot een onderzoek en een boete voor onvoldoende beveiliging. Is de beveiliging wel op orde, maar wordt een datalek onder het kleed geschoven en de toezichthouder komt hierachter, dan kan dit leiden tot een boete voor het verzwijgen. Is én de beveiliging niet op orde, én er wordt niet gemeld, dan is de organisatie dubbel in overtreding.

Datalekken en beveiliging vallen in de zogenaamde tweede boetecategorie. Dat betekent dat overtreding kan leiden tot een boete van maximaal €10.000.000,- of 2% van de wereldwijde omzet.

Wees voorbereid

Zorg dat het intern duidelijk is wat een datalek is, wat medewerkers moeten doen als ze er een tegenkomen én wat de mogelijke gevolgen zijn van niet-melden. Bestaat er twijfel over of er sprake is van een datalek of een beveiligingsincident, neem dan contact op met één van onze privacy-specialisten.

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn 2 reacties

  1. Jammer dat er alleen gesproken wordt over digitale bestanden/lekken.
    Ook het ouderwetse papieren dossier dat bijvoorbeeld open en bloot op een bureau blijft liggen en daardoor inkijkbaar door de interieurverzorgers is een datalek.
    Ik vind het jammer dat er alleen nog gesproken wordt over het digitaal lekken.
    Alles dat informatie bevat en door niet bevoegden kan worden bekeken/gelezen is een datalek.
    Van microfische, röntgenfoto, analoge dossiers en digitale bestanden

    1. Beste Koen,
      De vereiste ‘technische en organisatorische maatregelen’ dienen natuurlijk ook de papieren stukken te beveiligen. Een datalek kan dus inderdaad ook bijvoorbeeld bestaan uit het onbevoegd inzien van papieren dossiers.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie