Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens (AP), kunnen dat doen via het meldloket datalekken.
Drie categorieën
Er zijn drie categorieën datalekken te onderscheiden:
- Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens. - Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens. - Inbreuk op de beschikbaarheid
Wanneer sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan, afhankelijk van de omstandigheden, in meer dan een van deze drie categorieën vallen.
Voorbeelden datalekken
Voorbeelden van datalekken zijn:
- het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
- een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
- een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Tien vragen en antwoorden over het melden van datalekken.
1 Wat betekent de meldplicht datalekken voor de organisatie?
Of je een datalek wel of niet bij de AP moet melden, hangt af van de waarschijnlijkheid en de mogelijke ernst van het datalek voor de betrokken personen.
Je zult daarom een risico-inschatting moeten maken. Wanneer het datalek waarschijnlijk een hoog risico oplevert, moet je ook de betrokkenen informeren over het datalek.
Meld je een datalek ten onrechte niet bij de AP? Dan kan de AP je een boete geven. Je kunt ook een boete krijgen als je ten onrechte een datalek met een hoog risico verzwijgt voor de betrokkenen.
2 Moet je alle datalekken melden bij de AP?
Of je een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen.
Je hoeft een datalek niet te melden als het niet waarschijnlijk is dat het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.
Let op: ook wanneer je het datalek niet hoeft te melden aan de AP, moet je het wel registreren in jouw interne datalekregister.
3 Moet je alle datalekken melden aan betrokkenen?
Nee. Je hoeft de betrokkenen (de personen van wie je gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kun je aannemelijk maken dat dit niet zo is? Dan hoef je het datalek niet aan de betrokkenen te melden.
Let op: je moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geef je in de melding aan dat je het datalek niet hebt gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeld je welke redenen je hebt om de betrokkenen niet te informeren.
Hoog risico
Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet je onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen, zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
4 Wanneer levert een datalek een hoog risico op?
Van een hoog risico is sprake als een datalek kan leiden tot:
- Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
- Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
- Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
- Reputatieschade: bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
- Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische gegevens.
Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:
- Het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens.
- Een aanzienlijk economisch of maatschappelijk nadeel.
- Een situatie waarbij de betrokken personen hun rechten en vrijheden niet kunnen uitoefenen. Of geen controle over hun persoonsgegevens kunnen uitoefenen.
Andere voorbeelden van datalekken met een hoog risico:
- Datalek met bijzondere persoonsgegevens.
- Datalek met strafrechtelijke persoonsgegevens.
- Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Met name als het gaat om profiling op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
- Datalek met persoonsgegevens van kwetsbare groepen, zoals gehandicapten, mensen die ziek zijn, kinderen en bejaarden.
- Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor een hele grote groep mensen.
5 Hoe snel moet je een datalek melden?
Je moet een datalek binnen 72 uur na ontdekking van het lek melden aan de Autoriteit Persoonsgegevens (AP). Wanneer je dat niet doet, ben je waarschijnlijk in overtreding.
Wanneer je te laat bent moet je dit motiveren. Alleen in uitzonderlijke gevallen accepteert de AP een vertraagde melding na 72 uur.
Ter illustratie: een vakantie, ziekte, drukte of ‘het was weekend’ is geen geldig excuus om te laat te melden. Ook de motivatie ‘de FG is te laat geïnformeerd over datalek’ is geen geldig excuus.
Je kunt de melding die je hebt gedaan aanvullen of intrekken via het meldloket datalekken. Je hebt daarbij jouw meldingsnummer nodig.
Vervolgmelding
Gaat het om een complexe inbreuk, zoals digitale hacks of phishing? En heb je nog niet alle informatie? Dan moet je de eerste melding nog steeds binnen 72 uur doen. Bij nieuwe informatie kun je dan een vervolgmelding doen.
6 Wat doet de AP met de melding van een datalek?
De Autoriteit Persoonsgegevens (AP) kijkt zorgvuldig naar alle ontvangen meldingen van datalekken. Meestal krijg je geen reactie, tenzij de AP inhoudelijke vragen heeft over de melding. In dat geval neemt de AP binnen twee weken contact op.
Afhankelijk van de situatie kan AP besluiten om het volgende te doen na melding van een datalek:
- jou verplichten om de betrokken personen te informeren wanneer je dat onterecht niet heeft gedaan;
- een kortlopend onderzoek starten bij een mogelijke overtreding van de meldplicht, bijvoorbeeld wanneer je een datalek niet hebt gemeld. Of te laat hebt gemeld.
- een inlichtingenverzoek doen, bijvoorbeeld om het rapport van het onderzoek naar het datalek op te vragen;
- jou bellen voor meer informatie over het datalek;
- jou bellen om je extra uitleg en advies te geven;
- jou een brief sturen met extra uitleg over de normen en hoe te handelen bij datalekken;
- de melding sluiten. Wanneer uit de melding blijkt dat je de meldplicht goed hebt nageleefd en voldoende maatregelen zijn genomen om nieuwe inbreuken te voorkomen.
Onderzoek AP
De datalekmelding kan, eventueel in combinatie met andere meldingen, ook aanleiding zijn voor de AP om een onderzoek te starten naar de naleving van de privacywetgeving.
AP-register met alle datalekken
De AP slaat de melding op in een register met alle ontvangen meldingen over datalekken. Dit register is niet openbaar.
8 Kan je een datalek melden bij de FG van een organisatie?
Nee, je kunt een datalek niet melden bij de functionaris gegevensbescherming (FG). Je moet het datalek melden bij de Autoriteit Persoonsgegevens.
Wel is het zinvol om de FG te betrekken bij de afhandeling van het datalek. De FG kan jou bijvoorbeeld adviseren bij het informeren van de betrokkenen.
9 Welke informatie moet je betrokkenen geven bij een datalek?
Zijn de risico’s van een datalek hoog? Dan moet u de betrokken personen zo snel mogelijk informeren. Het belangrijkste doel hiervan is dat mensen begrijpen wat er met hun persoonsgegevens is gebeurd. En begrijpen wat zij kunnen doen om zichzelf te beschermen.
Je moet daarom ten minste antwoord geven op de volgende vragen:
Wat is er gebeurd?
Geef onder meer antwoord op de volgende vragen:
- Zijn de gegevens in handen gekomen van een onbevoegde? Of zijn de persoonsgegevens tijdelijk of permanent ontoegankelijk of verloren geraakt?
- Waren de persoonsgegevens onjuist of onvolledig? Of een combinatie?
- Om welke gegevens ging het? Wat is er met deze gegevens gebeurd?
Wat zijn de waarschijnlijke gevolgen?
Geef onder meer antwoord op de volgende vragen:
- Is alleen de privacy geschonden van de betrokken persoon? Of is er ook sprake van (een hoog risico op) lichamelijke of materiële (financiële) schade?
- Zijn de persoonsgegevens in handen van een kwaadwillende? Bijvoorbeeld een hacker? Zo ja, is er een (hoog) risico dat de betrokken persoon als gevolg van het datalek phishing mails ontvangt? Of het slachtoffer wordt van (identiteits)fraude?
- Zijn de persoonsgegevens inmiddels teruggestuurd of vernietigd door de partij die de gegevens onterecht heeft ontvangen?
Welke maatregelen stel je voor of heb je al getroffen?
Inclusief eventuele maatregelen om de risico’s te verkleinen of de nadelige gevolgen te beperken. Hierbij moet u ook vermelden of u externe partijen om advies heeft gevraagd. En zo ja, wat dat advies inhoudt.
Kan de getroffen persoon zelf iets doen?
Bijvoorbeeld om het risico op identiteitsfraude te verkleinen.
Waar terecht met vragen?
Geef de naam en contactgegevens van de functionaris gegevensbescherming (FG), als de organisatie die heeft. Of van iemand uit de organisatie waar de getroffen personen terechtkunnen voor meer informatie, bijvoorbeeld de directeur of een privacycontactpersoon.
10 Moet de verwerkingsverantwoordelijke of verwerker de datalek melden?
Maak je als verwerkingsverantwoordelijke gebruik van een dienst van een andere organisatie? En is die organisatie een verwerker? Dan moet je de melding doen als er een datalek is. Tenzij je expliciet afspraken maakt met de verwerker – bijvoorbeeld in de verwerkersovereenkomst – dat die namens jou datalekken meldt aan de Autoriteit Persoonsgegevens (AP).
Let op: onder de Algemene verordening gegevensbescherming (AVG) is de verwerker verplicht om de verwerkingsverantwoordelijke zonder onredelijke vertraging te informeren zodra de verwerker weet heeft van een datalek.
Ben je als verwerkingsverantwoordelijke verplicht om het datalek aan de betrokkenen te melden? Dan kun je niet afspreken dat de verwerker dit namens jou doet. Je moet in die gevallen altijd zelf de betrokkenen informeren.
Bron: Autoriteit Persoonsgegevens