Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Factsheets / Melden van datalekken

Vanaf 25 mei 2018 is de AVG (of: GDPR) van toepassing. Daarmee hebben het begrip ‘datalek’ en de daaraan gekoppelde meldplicht een nieuwe betekenis gekregen. Een organisatie die persoonsgegevens niet goed beveiligt (en daarmee een risico op datalekken loopt), of een bij haar bekend geworden datalek niet meldt, loopt kans op boetes. Wat betekent dit voor uw bedrijf?

> DOWNLOAD FACTSHEET ‘MELDEN VAN DATALEKKEN’

> HULP NODIG BIJ DATALEKKEN?

> VOLG EEN PRIVACYTRAINING VIA ICTRECHT ACADEMY

WAT IS EEN DATALEK?

De AVG spreekt van een ‘inbreuk in verband met persoonsgegevens’ (in het spraakgebruik een ‘datalek’) wanneer een inbreuk op de beveiliging leidt tot het verlies, of het ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Persoonsgegevens zijn dus onbedoeld verloren gegaan, of terechtgekomen waar zij niet moeten zijn.

Van een inbreuk op de beveiliging is sprake wanneer zich daadwerkelijk een incident heeft voorgedaan: enkel een zwakke beveiliging of dreiging betekent nog geen incident. Daarbij dienen persoonsgegevens verloren te zijn gegaan of op enige wijze onrechtmatig verwerkt te zijn. Kortom: een vrij brede definitie.

Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld) kan al een datalek zijn. En zelfs verlies van gegevens zoals bij een brand in het datacentrum terwijl er geen backup beschikbaar is, ziet de wet als een datalek. U dient als bedrijf preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen. Dit kan bijvoorbeeld door gebruik te maken van encryptietechnieken, een autorisatiebeleid en toegangscontrole.

Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt of gestolen worden, zijn geen datalekken. Als de broncode van uw nieuwe software wordt ontvreemd, of een lijst met bedrijfsnamen uit uw relatiebeheerpakket wordt gekopieerd, dan valt dat bijvoorbeeld buiten deze wet.

WANNEER MOET U EEN DATALEK MELDEN AAN DE TOEZICHTHOUDER?

Niet elk datalek moet worden gemeld. De AVG bepaalt dat een datalek aan de toezichthouder gemeld moet worden indien er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Een lek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig).

Een paar voorbeelden uit de tweede categorie:

  • inloggegevens van medewerkers;
  • factuurgegevens van klanten;
  • kopieën van identiteitsbewijzen;
  • gegevens die betrekking hebben op school- of werkprestaties;
  • gegevens die betrekking hebben op levensovertuiging;
  • gegevens die betrekking hebben op gezondheid.

Daarnaast kunnen ook de aard van de organisatie, of de gegevens gepseudonimiseerd zijn en de aard van inbreuk van belang zijn bij de beoordeling. Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur, aan de toezichthouder gemeld te worden door de verantwoordelijke. Deze termijn start op het moment dat de verantwoordelijke op de hoogte raakt van het datalek. Maak daarom ook afspraken met uw verwerkers (zie ook hierna).

WANNEER MOET U EEN DATALEK MELDEN AAN DE GETROFFEN PERSONEN (BETROKKENEN)?

Indien het datalek een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, dient u – naast de melding aan de toezichthouder – het lek tevens onverwijld te melden aan deze betrokkenen. Een datalek brengt een hoog risico voor betrokkenen teweeg wanneer het privéleven van betrokkenen waarschijnlijk door het lek wordt geschaad. Gevolgen die dan kunnen ontstaan zijn
bijvoorbeeld:

  • identiteitsfraude;
  • discriminatie;
  • reputatieschade.

Wanneer kwalitatief ernstige gegevens (zie het vorige kopje) zijn gelekt, is eigenlijk altijd sprake van een hoog risico. Dit moet dus ook altijd worden gemeld aan de getroffen personen.

WANNEER HOEFT U EEN DATALEK NIET TE MELDEN?

Een datalek dat een risico inhoudt voor de rechten en vrijheden van betrokkenen, moet u altijd melden aan de toezichthouder. Daarbij doet het er niet toe of het datalek per ongeluk of opzettelijk is veroorzaakt.

Een datalek hoeft echter niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop.

De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/of de getroffen personen, ligt te allen tijde bij u. Maakt u echter een onjuiste inschatting dat er geen melding nodig is, dan kunt u dáár ook voor op de vingers getikt worden. Een boete kan niet worden opgelegd voor het enkele feit dat een datalek heeft plaatsgevonden, dit kan immers ook buiten uw macht om gebeuren. Wel kan een boete worden opgelegd voor het niet melden van een datalek, en/of het niet passend beveiligen van persoonsgegevens.

HOE DIENT U EEN DATALEK TE MELDEN?

Een datalek dient via het meldloket op de website van de toezichthouder te worden doorgegeven. Na het doen van een melding bij de toezichthouder, wordt er een ontvangstbevestiging getoond in de browser. Het is verstandig om deze ontvangstbevestiging af te drukken en te bewaren.

WELKE INFORMATIE MOET U OVER EEN DATALEK BEWAREN?

U dient een register bij te houden van alle datalekken, ook de lekken die geen risico inhouden en dus niet aan de toezichthouder gemeld moeten worden. Dit register moet de oorzaak van het lek, het soort gegevens die gelekt zijn, het moment dat het lek is ontdekt en op welke wijze het lek gedicht is bevatten, maar ook de mogelijke gevolgen van de inbreuk. Als u het datalek ook aan de getroffen personen heeft gemeld, is het belangrijk de communicatie hierover te bewaren.

MOET EEN VERWERKER DATALEKKEN MELDEN?

In veel gevallen wordt het verwerken van persoonsgegevens uitbesteed aan een derde partij. Deze derde partij noemt de wet een verwerker. Data kan bijvoorbeeld toegankelijk zijn voor een clouddienstverlener die updates uitvoert op software, opgeslagen staan bij een hostingprovider, of beschikbaar zijn voor het marketingbedrijf dat e-mails in opdracht van klanten verzendt.

Een verwerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de verwerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken. Er zullen daarom schriftelijke afspraken moeten worden gemaakt waarin wordt vastgelegd op welke wijze de klanten door de verwerker op de hoogte worden gesteld van een datalek. Deze afspraken kunnen worden opgenomen in een verwerkersovereenkomst.

Let op: bent u veelal verwerker, maar zijn bij een datalek ook gegevens met betrekking tot uw eigen klantadministratie gelekt, dan zult u ook zelf een melding van het lek moeten maken. U bent daar dan immers zelf verantwoordelijk voor.

>> Komt u er niet uit of een datalek gemeld moet worden, heeft u vragen over hoe u afspraken met derde partijen moet regelen of heeft u hulp nodig bij het opstellen van een interne procedure voor het melden van een datalek?

Neem dan contact op met de privacy juristen van ICTRecht: Lisette Chew-Meij (l.meij@ictrecht.nl), Peter Kager (p.kager@ictrecht.nl) of Mathieu Paapst (m.paapst@ictrecht.nl) of bel: 020 663 1941.

Andere factsheets

  • Juridische ondersteuning voor open source

    Open source biedt unieke kansen, maar kent ook unieke risico’s. Voor bedrijven die gewend zijn aan traditionele licenties, kan het duur of lastig zijn om te zorgen dat ze zich houden aan open source licenties. Deze kennen namelijk bijzondere bepalingen, zoals het beschikbaar moeten stellen van eigen broncode. Het negeren van open source licentie-voorwaarden betekent dat de software zonder geldige licentie wordt gebruikt, wat kan leiden tot een rechtszaak of slechte publiciteit.

  • ICT-leveranciers & Zorg

    Levert u ICT-diensten aan een zorgorganisatie? Dan wilt u goede afspraken maken met  de zorgorganisatie. Niet alleen over welke dienst u precies gaat leveren maar ook over de voorwaarden waaronder u die diensten levert en wie waarvoor verantwoordelijk is.