Meldplicht datalekken: hoe dan precies?

De Algemene Verordening Gegevensbescherming eist dat organisaties een datalek melden bij de Autoriteit Persoonsgegevens, tenzij het datalek geen risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. De betrokken personen informeer je alleen als er sprake is van een hoog risico.

9 augustus 2019 door Salaris Vanmorgen

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Een ernstig datalek moeten werkgevers binnen 72 uur melden bij het meldloket datalekken van de Autoriteit Persoonsgegevens (AP).

Je hoeft geen datalek te melden als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.

Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet je onder meer kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen, zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

Drie categorieën

Er zijn drie categorieën datalekken te onderscheiden:

1 Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.

2 Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.

3 Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.

Voorbeelden datalekken

Voorbeelden van datalekken zijn:

verlies van een USB-stick met niet-versleutelde persoonsgegevens;
cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

Voorbeelden hoog risico

Van een hoog risico is sprake als een datalek kan leiden tot:

Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
Reputatieschade: bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische gegevens.

Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:

het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens;
een aanzienlijk economisch of maatschappelijk nadeel;
een situatie waarbij de betrokken personen hun rechten en vrijheden niet kunnen uitoefenen. Of geen controle over hun persoonsgegevens kunnen uitoefenen.

Andere voorbeelden van datalekken met een hoog risico:

Datalek met bijzondere persoonsgegevens
Datalek met strafrechtelijke persoonsgegevens
Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Met name als het gaat om profiling op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
Datalek met persoonsgegevens van kwetsbare groepen. Zoals gehandicapten, mensen die ziek zijn, kinderen en bejaarden.
Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor een hele grote groep mensen.

Voorbeeld datalek wel/niet melden?

Een verwerkingsverantwoordelijke heeft een backup van een archief van persoonsgegevens op een USB-stick opgeslagen. De USB-stick wordt gestolen tijdens een inbraak.

Zolang de gegevens met een geavanceerd algoritme zijn versleuteld, er back-ups van de gegevens bestaan, de unieke sleutel niet is aangetast en de gegevens tijdig kunnen worden hersteld, is het mogelijk dat deze inbreuk niet hoeft te worden gemeld. Als er echter later een aantasting van integriteit en/of vertrouwelijkheid. plaatsvindt, moet de inbreuk wel worden gemeld.

Lees meer in Voorbeeldlijst wel/niet melden datalek

Stappenplan in actie bij datalek

Stap 1. Zorg voor overzicht
Stap 2. Beperk schade
Stap 3. Bepaal wel/niet melden bij AP
Stap 4. Registreer datalek in verplicht datalekregister

Lees het volledige stappenplan Kom in actie bij een datalek

Meldplicht datalekken: hoe dan precies?

Drie categorieën

Voorbeelden datalekken

Voorbeelden hoog risico

Voorbeeld datalek wel/niet melden?

Stappenplan in actie bij datalek

Verder bouwen aan AI-geletterdheid, handreiking Autoriteit Persoonsgegevens

Nieuwe aanpak regeldruk: schrappen of minder druk bij 500 regels

Werkgever filmt werknemer met (verborgen) camera. Mag dat?

Zieke werknemer: wat mag je als werkgever (niet) vragen?

Categorie

Info

Drie categorieën

Voorbeelden datalekken

Voorbeelden hoog risico

Voorbeeld datalek wel/niet melden?

Stappenplan in actie bij datalek

Gerelateerde artikelen

Verder bouwen aan AI-geletterdheid, handreiking Autoriteit Persoonsgegevens

Nieuwe aanpak regeldruk: schrappen of minder druk bij 500 regels

Werkgever filmt werknemer met (verborgen) camera. Mag dat?

Zieke werknemer: wat mag je als werkgever (niet) vragen?

Categorie

Info