VERDIEPINGSARTIKEL

Hoe ziet de meldplicht datalekken eruit onder de AVG?

De meldplicht datalekken is u inmiddels wel bekend. Ook onder de AVG blijft de meldplicht datelekken bestaan. Wel zijn er wijzigingen en nuanceringen in de wettekst verschenen. Ook zijn de boetes voor het lekken van data onder de AVG een stuk hoger geworden. Zorg dus dat u weet hoe de meldplicht datalekken eruit ziet onder de AVG, zodat u niet voor verrassingen komt te staan.


2 mei 2019 4 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online en Robert van Vianen, partner BDO Advisory bij BDO, e-mail: robert.van.vianen@bdo.nl


Persoonsgegevens. Dat is waar de Algemene verordening gegevensbescherming (AVG) om draait. Om precies te zijn het beschermen van persoonsgegevens. Deze wet verplicht u de persoonsgegevens die u verwerkt te beveiligen tegen verlies en tegen onrechtmatige verwerking (AVG artikel 32). Gaat het onverhoopt toch mis, dan moet u in bepaalde gevallen een datalek melden aan de Autoriteit Persoonsgegevens (AP). (AVG artikel 33). De meldplicht datalekken geldt in Nederland al sinds 2016, maar is ook onderdeel van de AVG.

Risico voor betrokkenen

Niet ieder beveiligingsincident is ook een datalek. Er is alleen sprake van een datalek als het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten van betrokkene(n). Als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten, dan is er sprake van een datalek. Denk hierbij aan het kwijtraken van de welbekende usb-stick, de diefstal van een laptop of aan een inbraak door een hacker. Als er geen persoonsgegevens bij betrokken zijn, is het geen datalek. U hoeft dan geen melding te doen aan de AP.

72 uur na ontdekking

Als u een melding moet doen bij de AP, doet u dat zonder onnodige vertraging en niet later dan 72 uur na de ontdekking van het datalek. Lukt dat niet, dan moet uw organisatie de vertraging goed kunnen onderbouwen. Via een formulier op de website van de AP kunt u de melding zo nodig aanvullen of intrekken. Wat u in ieder geval moet melden:

  • de aard van de inbreuk;
  • algemene informatie en contactgegevens;
  • beschrijving van geconstateerde en vermoedelijke gevolgen van de inbreuk;
  • ondernomen vervolgacties;
  • (wijze van) inlichting van betrokkene(n);
  • genomen technische beschermingsmaatregelen;
  • internationale aspecten en gevolgen van de inbreuk

Bij een melding aan betrokkenen geeft u in ieder geval de volgende informatie:

  • algemene omschrijving aard van de inbreuk;
  • instantie waar betrokkene(n) meer informatie over de inbreuk kan krijgen;
  • aanbevolen maatregelen.

Vers van de pers

De AVG en daarmee de vernieuwde meldplicht datalekken zijn nog maar net actief. Het is dus afwachten hoe de wet in de praktijk gaat uitpakken. Ook kan de meldplicht datalekken uitzonderingen bevatten die op uw situatie van toepassing kunnen zijn. Zo bevat de wet bijvoorbeeld diverse uitzonderingen die van toepassing zijn op financiële ondernemingen zoals bedoeld in de Wet op het financieel toezicht.

Risico

U hoeft niet ieder datalek te melden aan de betrokkenen. Volgens de wet moet u een melding doen aan de betrokkenen als het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen.

U hoeft niet ieder datalek te melden

Een lek waarbij gegevens van gevoelige aard betrokken zijn, vormt altijd een risico voor de rechten en vrijheden van de betrokkenen. Dit soort gegevens kunnen namelijk leiden tot stigmatisering of uitsluiting van de betrokkene, maar ook tot schade aan de gezondheid, financiële schade of identiteitsfraude. Bij persoonsgegevens van gevoelige aard kunt u denken aan:

  • Bijzondere persoonsgegevens. Het gaat hierbij om persoonsgegevens over iemands ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische/biometrische gegevens (met het oog op de unieke identificatie van een persoon), gezondheid, seksueel gedrag of seksuele geaardheid.
  • Gegevens over de financiële of economische situatie van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden, salaris- en betalingsgegevens.
  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene. Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen.
  • Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoonsgegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen.

Ook andere factoren kunnen aanleiding zijn om het datalek te melden. Denk aan veel gelekte persoonsgegevens per persoon, of het aantal betrokkenen van wie persoonsgegevens zijn gelekt.

Incidenten vastleggen

Volgens de beleidsregels van de AP behoort u enkele zaken vast te leggen rond alle (mogelijke) datalekken. Incidenten die niet zijn gemeld dienen dus ook vastgelegd te worden:

  1. Houdt een overzicht bij van alle datalekken die onder de meldplicht vallen.
  2. Per datalek bevat het overzicht in ieder geval feiten en gegevens over de aard van de inbreuk.
  3. Als het datalek is gemeld aan de betrokkene, neem dan de tekst van de kennisgeving aan de betrokkene in het overzicht op.

Register bijhouden

Daarnaast valt het aan te raden om een register voor datalekken bij te houden. Dit is voor bepaalde organisaties zelfs verplicht. In het register legt u vast:

  • korte omschrijving incident/datalek
  • wanneer vond het datalek plaats?
  • wat vond er plaats?
  • categorie persoonsgegevens
  • aantal betrokkenen (schatting)
  • omschrijving van risico voor betrokkenen
  • genomen risicobeperkende maatregelen voorafgaand aan het incident (bijvoorbeeld encryptie)
  • gemeld bij de AP?
  • reden niet melden AP
  • gemeld aan betrokkenen?
  • reden van niet melden aan betrokkenen
  • tekst kennisgeving betrokkenen
  • genomen maatregelen na het incident om herhaling te voorkomen.

Voordelen van vastleggen

De redenen die er bestaan voor het vastleggen van datalekken zijn:

  • Leren van het datalek en van de wijze waarop u dit heeft afgehandeld.
  • Antwoord kunnen geven op vragen van betrokkenen en andere partijen.
  • Alsnog melden van het datalek aan de betrokkenen, indien u dit in eerste instantie achterwege hebt gelaten en de omstandigheden vereisen dat u dit alsnog doet.

De laatste reden kan relevant zijn als u de kennisgeving aan de betrokkenen achterwege heeft gelaten na bijvoorbeeld diefstal van een versleutelde dataset. Wees u bewust van het feit dat de komst van nieuwe technologieën gepaard gaat met nieuwe risico’s. Met grote regelmaat worden nieuwe kwetsbaarheden in breed gebruikte versleutelingsalgoritmen ontdekt. Bij de diefstal van een versleutelde dataset is alertheid over een langere periode dus geboden. Bij signalen dat de versleuteling door nieuwe technieken gekraakt zou kunnen worden, moet u alsnog de afweging maken om de betrokken personen wel of niet te informeren.