Oeps… Verkeerd verzonden!

Het kan iedereen overkomen: een e-mail versturen naar de verkeerde persoon. Dit leidt tot paniek, zeker als er persoonsgegevens van cliënten of werknemers in de e-mail staan. Is er in zo'n geval direct sprake van een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens?

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. De wetgever wil met de meldplicht datalekken "de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens".

De meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens - formeel het 'College Bescherming Persoonsgegevens' - zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, zoals gegevens over klanten of werknemers van een onderneming. Het kan onder meer gaan om een inbraak op het systeem door een hacker, een gestolen laptop, een verkeerd verzonden e-mail of een kwijtgeraakte USB-stick.

Moeten alle datalekken gemeld worden bij de Autoriteit Persoonsgegevens?

Niet alle datalekken hoeven gemeld te worden bij de Autoriteit Persoonsgegevens. Een datalek hoeft alleen gemeld te worden als dit leidt tot (mogelijke) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Om te kunnen beoordelen of een datalek ernstig is, wordt gekeken naar de kwantiteit (hoeveelheid) en kwaliteit (aard) van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk. Dit kan bijvoorbeeld gaan om persoonsgegevens over iemands gezondheid of financiële situatie.

De 'Beleidsregels meldplicht datalekken' van de Autoriteit Persoonsgegevens kunnen helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

Voorbeelden van ernstige datalekken die moeten worden gemeld:

• Een database met gevoelige persoonsgegevens wordt gehackt waardoor onbevoegden toegang hebben gekregen tot deze gegevens;
• Als gevolg van een beveiligingslek zijn persoonlijke gegevens (zoals kopieën van paspoorten of rijbewijzen, bankgegevens en wachtwoorden) van werknemers op de server van de organisatie door onbevoegden ingezien;
• Een medewerker verliest een laptop met niet beveiligde financiële klantgegevens.

Betrokkenen

De betrokkenen (de personen van wie de gegevens zijn verwerkt) hoeven alleen te worden geïnformeerd als het datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Maatregelen nemen?!

De Autoriteit Persoonsgegevens kan een boete opleggen, bijvoorbeeld als organisaties geen melding maken van een ernstig datalek. Er dient bij een melding van een datalek niet alleen te worden gemeld om wat voor inbreuk het gaat en welke (mogelijke) gevolgen die inbreuk heeft, maar ook welke maatregelen zijn en/of worden genomen om een datalek te voorkomen/verhelpen.

Om datalekken te voorkomen, moeten organisaties die persoonsgegevens bewaren/gebruiken maatregelen nemen om deze te beveiligen. Artikel 13 van de Wet bescherming persoonsgegevens luidt: "De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen".

Nu bijna alle organisaties met persoonsgegevens werken, is het zaak voor organisaties om hier beleid op te (laten) maken.

Algemene Verordening Gegevensbescherming (AVG)

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de eigen registratie van organisaties van de datalekken die zich binnen de organisatie hebben voorgedaan. Alle datalekken moeten worden gedocumenteerd (niet alleen de ernstige datalekken waarvan een melding is gedaan bij de Autoriteit Persoonsgegevens). Met deze documentatie kan de Autoriteit Persoonsgegevens controleren of een organisatie aan de meldplicht heeft voldaan.

Voor vragen kunt u contact opnemen met de specialisten van privacy.