Heeft jouw organisatie te maken met een datalek, dan is het wettelijk verplicht om het datalek intern te registreren. Er zijn situaties waarin het daarnaast wettelijk verplicht is om het datalek te melden aan de toezichthouder (Autoriteit Persoonsgegevens) en betrokkenen. Wat een datalek is en wat je moet doen in geval van een datalek, leggen wij uit in deze factsheet.
De Algemene verordening gegevensbescherming (AVG) spreekt van een ‘inbreuk in verband met persoonsgegevens’ (datalek) wanneer een inbreuk op de beveiliging leidt tot het verlies, of het ongeoorloofd wijzigen, verstrekken, inzien of anderszins verwerken van persoonsgegevens. Er is iets gebeurd met de persoonsgegevens terwijl dat niet de bedoeling was.
Voorbeelden van datalekken:
Naast het feit dat je zo snel mogelijk het datalek moet oplossen, en maatregelen moet treffen om ervoor te zorgen dat het datalek niet nog een keer gebeurt, zijn er ook verschillende administratieve handelingen die gedaan moeten worden:
Het ligt voor de hand, maar in het datalekregister staat alle informatie over een of meerdere datalekken die zich hebben voorgedaan binnen de organisatie (of bij de verwerker van de organisatie). Het is gebruikelijk om in ieder geval onderstaande informatie in het datalekregister op te nemen:
In de AVG is niet vastgelegd op welke wijze organisaties een datalekregister moeten bijhouden. Er zijn verschillende mogelijkheden:
Je hoeft niet elk datalek te melden bij de Autoriteit Persoonsgegevens. Een datalek moet aan de toezichthouder gemeld worden indien er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Een datalek kan een risico teweegbrengen als het een grote hoeveelheid persoonsgegevens betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Denk bijvoorbeeld aan financiële gegevens, medische informatie of kopieën van identiteitsbewijzen.
Het datalek dient zo snel mogelijk, maar uiterlijk binnen 72 uur na ontdekking van het datalek, via de website van de Autoriteit Persoonsgegevens gemeld te worden door de verwerkingsverantwoordelijke. Deze termijn start op het moment dat de verwerkingsverantwoordelijke op de hoogte raakt van het datalek. Maak daarom ook afspraken met je verwerkers.
Indien het datalek een hoog risico oplevert voor de rechten en vrijheden van betrokkenen moet het datalek zowel aan de toezichthouder als aan de betrokkene(n) gemeld worden. Het melden aan betrokkenen dient meteen te gebeuren.
Een datalek brengt een hoog risico voor betrokkenen teweeg wanneer het privéleven van betrokkenen waarschijnlijk door het lek wordt geschaad. Gevolgen die dan kunnen ontstaan zijn bijvoorbeeld:
Wanneer kwalitatief ernstige gegevens (zie het vorige kopje) zijn gelekt, is eigenlijk altijd sprake van een hoog risico. Dan moet het datalek dus ook altijd worden gemeld aan de getroffen personen.
Wanneer je de betrokkenen informeert over het datalek, dan is het verstandig om dit schriftelijk (per e-mail of brief) te doen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.