Smile
Terug naar hoofdmenu
Terug naar het overzicht

Beveiligingsincidenten met persoonsgegevens zijn niet meer weg te denken uit het nieuws. Met name in de Zorg en bij de Overheid is er al veel aandacht voor, met als gevolg dat de situaties waarin het misgaat ook steeds vaker aan het licht komen. Maar omdat er nog veel sectoren en bedrijven zijn die er nauwelijks aandacht voor hebben, zijn de incidenten die het nieuws halen maar een klein topje van de ijsberg. Het werkelijke aantal incidenten is vele malen groter en in veel van deze gevallen gaat het ook echt om een datalek.

Maar wat is nu eigenlijk een datalek? En hoe zit het met de documentatie- en meldplicht? En met de boetes? Dit artikel zet de feiten op een rij.

Wat is een datalek?

Er is sprake van een datalek als er een incident heeft plaatsgevonden waarbij persoonsgegevens (tijdelijk) niet meer beschikbaar zijn, geheel verloren zijn gegaan of niet is uit te sluiten dat persoonsgegevens in handen van derden zijn gevallen. Voorbeelden zijn niet alleen ‘hacks’ van systemen of malware die een server ‘encrypt’, ook een e-mail die wordt verzonden aan een verkeerde geadresseerde, een usb-stick met persoonsgegevens die in de trein wordt vergeten of een laptop met persoonsgegevens die uit de auto wordt gestolen, moet worden geclassificeerd als datalek. Of een dergelijk incident opzettelijk of per ongeluk heeft plaatsgevonden, is niet relevant.

Documentatieplicht

De AVG/GDPR stelt dat alle datalekken moeten worden gedocumenteerd in een intern dossier, los van het feit of je ze ook moet melden. Zowel de feiten, de gevolgen als de opvolging van het incident inclusief de corrigerende maatregelen moeten in dit dossier worden vastgelegd. In lijn met het accountability principe (aantoonbaar compliant zijn) is het verstandig ook de motivaties achter beslissingen vast te leggen in het dossier. Zoals bijvoorbeeld de besluitvorming rondom het al dan niet doen van een melding aan de bevoegde Toezichthouder (de Autoriteit Persoonsgegevens ofwel de AP) en/of de betrokkenen. Het dossier kan een regulier spreadsheet-programma zijn, maar ook een speciaal voor dit doel ingericht digitaal softwaresysteem waarin niet alleen de (bijna) incidenten maar ook verwerkingen, maatregelen en andere zaken op het gebied van Privacy & Informatiebeveiliging kunnen worden ondergebracht.

Meldplicht en risicobeoordeling

De eventuele meldplicht hangt nauw samen met de mate waarin een datalek een risico* inhoudt voor de rechten en vrijheden van natuurlijke personen. Zodra er sprake is van een potentieel risico moet de Toezichthouder geïnformeerd worden over het datalek. Bij een hoog risico moeten ook de betrokkenen geïnformeerd worden. Ook moeten er aanbevelingen worden gedaan over de wijze waarop mogelijke negatieve gevolgen beperkt kunnen worden, dit om de betrokkenen in staat te stellen eventuele voorzorgsmaatregelen te treffen.

Een melding aan de betrokkenen is niet nodig wanneer er maatregelen conform de AVG/GDPR zijn toegepast op de betreffende persoonsgegevens. Bijvoorbeeld als de gegevens zijn versleuteld, waardoor degene die de gegevens in handen krijgt niet kan achterhalen om welke personen het gaat. Een melding kan eveneens achterwege gelaten worden als er direct na het datalek maatregelen zijn genomen door de verwerkingsverantwoordelijke die ervoor zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen. Ook als de mededeling aan betrokkenen onevenredige inspanning vergt, is de melding niet verplicht. In het laatste geval moeten betrokkenen wel op een andere manier worden geïnformeerd, bijvoorbeeld door een openbare mededeling.

* De AVG biedt geen concrete richtlijnen om het risiconiveau vast te stellen. Als hulpmiddel schrijft de WP29 (een collectief mede bestaande uit vertegenwoordigers van Toezichthouders Gegevensbescherming uit EU-lidstaten dat zich o.a. richt op de uniforme implementatie van de AVG) een aantal factoren voor die je mee kunt wegen bij het bepalen van het risico zoals: de aard van het incident, de aard en gevoeligheid van de persoonsgegevens, de hoeveelheid getroffen persoonsgegevens, het gemak waarmee individuen identificeerbaar zijn, de (potentiële) impact op betrokkenen, specifieke karakteristieken van betrokkenen en de verwerkingsverantwoordelijke, het aantal getroffen individuen en andere bijzonderheden die het risico omhoog kunnen trekken.

Het moment van melden aan de Toezichthouder

De Toezichthouder moet uiterlijk 72 uur nadat de verantwoordelijke er kennis van heeft genomen, geïnformeerd worden over een datalek. Als er een vermoeden bestaat, moet er zo snel mogelijk aantoonbaar onderzoek plaatsvinden dat meer duidelijkheid verschaft. De 72 uur gaan pas tikken als de verantwoordelijke met redelijke zekerheid gelooft dat er een datalek heeft plaatsgevonden waarbij er persoonsgegevens zijn aangetast. Die 72 uur lijkt misschien lang, maar als er sprake is van een incident sta je enorm onder druk en vliegt de tijd voorbij. Bovendien geldt deze termijn van 72 uur ook als een organisatie gebruikmaakt van een verwerker en het datalek zich bij deze verwerker voordoet. Zorg dus dat je goede afspraken maakt met jouw eventuele verwerkers.

Boetes en imagoschade

Het voorkomen van een datalek ligt niet altijd binnen jouw macht. Door passende beschermingsmaatregelen zoals versleuteling te treffen, kun je wel voorkomen dat de implicaties van een datalek voor de betrokkene worden beperkt. Door een goed incidenten-dossier bij te houden, dat ook als een draaiboek kan fungeren door af te dwingen dat je de juiste stappen zet, zorg je er als het dan toch fout gaat voor dat de schade geminimaliseerd wordt.

Het niet doen van een melding en/of een niet bestaand of aantoonbaar falend beveiligingsbeleid kan leiden tot boetes van € 10 miljoen of 2% van de wereldwijde omzet. Als er ook nog andere risico verhogende aspecten van toepassing zijn, kan de boete zelfs oplopen tot € 20 miljoen of 4% van de wereldwijde jaaromzet.

Dat laatste zal waarschijnlijk niet zo heel snel voorkomen: de Toezichthouder zal vooral maatregelen inzetten die organisaties dwingen het juiste te doen, zoals een ‘last onder dwangsom’. Maar desondanks kan de niet-naleving van de meldplicht datalekken een organisatie veel geld kosten. Daarnaast – en dat is eigenlijk nog veel belangrijker – zal het niet goed omgaan met een datalek flinke imagoschade opleveren. En dat is heel moeilijk te corrigeren.

Zorg dus dat je dit proces goed op orde hebt!