Datalekken

Organisaties die persoonsgegevens verwerken zijn verplicht een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten ook de betrokkenen (de personen van wie gegevens worden gelekt) op de hoogte worden gebracht. Maar ook als een datalek niet gemeld hoeft te worden aan de AP of betrokkenen, zijn organisaties onder de Algemene verordening gegevensbescherming (AVG) verplicht om datalekken te documenteren.

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Er is niet alleen sprake van een datalek als er persoonsgegevens verloren zijn gegaan, maar ook als onrechtmatige verwerking van de persoonsgegevens ‘niet redelijkerwijs kan worden uitgesloten’. Bijvoorbeeld als een verzekeraar ontdekt dat als gevolg van een slecht beveiligde webapplicatie persoonsgegevens ingezien konden worden. Ook als niet kan worden vastgesteld of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd, moet de inbreuk worden beschouwd als een datalek. In dat geval kan immers niet worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt.

Wat is het doel van de meldplicht datalekken?

Het doel van de meldplicht is het voorkomen van datalekken en indien deze zich toch voordoen, het beperken van de gevolgen ervan voor de betrokkenen. Aanleiding voor het invoeren van de meldplicht was een aantal incidenten waarbij persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen.

Deze meldplicht bestaat onder de AVG enerzijds uit de verplichting om een ‘inbreuk in verband met persoonsgegevens’ te melden aan de toezichthouder en anderzijds aan de betrokkenen.

Wanneer een datalek melden?

Op grond van de AVG moet u een datalek melden bij de Autoriteit Persoonsgegevens (AP) als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Ook als een datalek leidt tot ‘een aanzienlijke kans’ op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht. Uit de handleiding AVG van het Ministerie van Justitie en Veiligheid blijkt dat onder de AVG in beginsel ieder datalek moet worden gemeld, ‘tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. U dient het datalek zo snel mogelijk – maar uiterlijk binnen 72 uur na de ontdekking – te melden bij het meldloket datalekken van de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging.

Wanneer moet u een datalek melden aan de betrokkenen?

Op grond van de AVG dient u een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie.

In de AVG is bepaald dat een organisatie een betrokkene op de hoogte moet brengen van een inbreuk op de persoonsgegevens indien de inbreuk ‘een hoog risico’ voor betrokkenen inhoudt. Hierop gelden een aantal uitzonderingen. Zo hoeft een betrokkene niet geïnformeerd te worden wanneer een organisatie maatregelen heeft genomen waarmee de vastgestelde risico’s zijn weggenomen. Ook geldt een uitzondering op de datalek meldingsplicht aan betrokkenen voor financiële ondernemingen, als bedoeld in artikel 1:1 Wet op het financieel toezicht. Deze uitzondering betekent overigens niet dat de financiële onderneming betrokkenen niet hoeft te informeren; als de zorgplicht daarom vraagt, zal ook de financiële onderneming, ondanks de uitzondering in de Uitvoeringswet AVG, het datalek moeten melden bij de betrokkenen.

Wat doet de AP met een datalekmelding?

Volgens het AVG-10 stappenplan van de AP blijft de meldplicht datalekken onder de AVG grotendeels hetzelfde. Wel stelt de AVG strengere eisen aan de registratie van datalekken: alle datalekken moeten worden gedocumenteerd. In oktober 2017 hebben de Europese toezichthouders richtlijnen gepubliceerd ten aanzien van de meldplicht datalekken onder de AVG.

Wat zijn de sancties voor het niet nakomen van de meldplicht datalekken?

Als een onderneming de regels vanuit de AVG niet naleeft kan de AP handhavend optreden. Dit houdt in dat de AP een last onder dwangsom of een bestuurlijke boete kan opleggen. Dit kan flink in de papieren lopen: het nalaten van het melden van een datalek kan worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Daarnaast kan de AP bijvoorbeeld met een bindende aanwijzing van een organisatie verlangen dat een datalek alsnog wordt gemeld aan de betrokkenen. Het niet nakomen van deze aanwijzing kan worden bestraft met een bestuurlijke boete of een last onder dwangsom.

E-paper 'Meldplicht datalekken en AVG'

Meer weten over de stappen die u moet volgen bij het identificeren en melden van een datalek? Download dan gratis onze e-paper ‘Meldplicht datalekken en AVG‘ of volg onze AVG Awareness e-learning. Na afronding van de training bent u bekend met de privacyregels en weet u in de praktijk om te gaan met persoonsgegevens, datalekken en de rechten van betrokkenen.

Hulp nodig?

Voor aanvullend advies kunt u contact opnemen met onze consultants, zij helpen u graag met de naleving van de AVG.