De laatste tijd hebben datalekken bij Facebook en LinkedIn, maar ook bij Booking.com en allekabels.nl, regelmatig het nieuws gehaald. Ondanks herhaalde campagnes gericht op het creëren van bewustzijn ten aanzien van het voorkomen en melden van datalekken, gaat dit alles nog altijd met enige regelmaat mis. De bevoegdheid van de Autoriteit Persoonsgegevens om fikse boetes op te leggen wanneer niet conform de Algemene Verordening Gegevensbescherming (AVG) met persoonsgegevens wordt omgegaan, lijkt nog te weinig indruk te maken. In dit blogbericht wordt uiteengezet wanneer er sprake is van een datalek en wat uw organisatie moet doen in het geval van een datalek.
De AVG omschrijft een datalek als een ‘inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’.
Zoals uit de bovenstaande definitie blijkt, is er alleen sprake van een datalek in de zin van de AVG als er persoonsgegevens getroffen zijn.
Daarnaast moet onder meer het datalek het gevolg zijn van een inbreuk op de beveiliging. Een dergelijke inbreuk kan verschillende oorzaken hebben. Voorbeelden zijn het versturen van een e-mail naar de verkeerde ontvanger of het kwijtraken van een telefoon. Ook kan een systeem worden gehackt of kan een organisatie slachtoffer worden van phishing.
Er is niet slechts sprake van een datalek in de zin van de AVG als persoonsgegevens daadwerkelijk in handen van derden zijn gekomen. Het gaat erom dat een organisatie redelijkerwijs niet kan uitsluiten dat persoonsgegevens door het beveiligingsincident onrechtmatig zijn verwerkt. En bij onrechtmatige verwerking kan het ook gaan om vernietiging van persoonsgegevens.
Voor elke organisatie is het belangrijk inzichtelijk te hebben op welke manier en op welke schaal persoonsgegevens worden verwerkt. Hierop dient concreet beleid te worden afgestemd. De aanwezigheid van dergelijk beleid creëert bewustzijn binnen de organisatie ten aanzien van het belang van de juiste omgang met persoonsgegevens, en de genomen dan wel te nemen technische en organisatorische maatregelen ter beveiliging van die persoonsgegevens. Er moet worden stilgestaan bij de verschillende (bedrijfs)processen waarbij persoonsgegevens worden verwerkt, maar ook bij de bewaartermijnen van persoonsgegevens. Tevens dient in het beleid te worden opgenomen wanneer er sprake is van een inbreuk op de beveiliging van persoonsgegevens en hoe men binnen de organisatie moet handelen in het geval van een datalek.
In het geval van een datalek dient allereerst zo snel mogelijk in kaart gebracht te worden wat er is gebeurd. Welke persoonsgegevens zijn er gelekt? Van wie zijn deze persoonsgegevens? Wie heeft er nu mogelijk toegang tot deze persoonsgegevens en welke maatregelen zijn al genomen of kunnen direct worden genomen om de schade te beperken? Zo kan men soms de gegevens op een zoekgeraakte telefoon van een afstand wissen, of kan men aan de ontvanger van een verkeerd geadresseerde e-mail vragen de e-mail definitief te wissen en dit wissen te bevestigen.
Vervolgens moet men beoordelen of het datalek gemeld moet worden aan de Autoriteit Persoonsgegevens en/of aan de betrokken personen (betrokkenen). Wanneer uw organisatie de gelekte persoonsgegevens slechts verwerkt in opdracht van een verwerkingsverantwoordelijke, dient u als verwerker het datalek aan de opdrachtgever te melden conform de in de verwerkersovereenkomst gemaakte afspraken.
Indien uw organisatie zelf het doel van en de middelen waarvoor de (gelekte) persoonsgegevens worden verwerkt bepaalt, moet het datalek binnen 72 uur aan de Autoriteit Persoonsgegevens worden gemeld (zie hiervoor het Meldloket datalekken Autoriteit Persoonsgegevens) wanneer er een hoog risico bestaat voor de rechten en vrijheden van de betrokkenen. Of er sprake is van een dergelijk groot risico hangt onder meer af van de categorieën gelekte persoonsgegevens (denk hierbij aan gelekte informatie over de financiële of economische situatie van betrokkenen, gegevens die kunnen worden gebruikt voor identiteitsfraude, medische gegevens etc.), maar bijvoorbeeld ook van de omvang van het datalek.
Wanneer het datalek een hoog risico oplevert voor de rechten en vrijheden van betrokkenen moeten in sommige gevallen ook die betrokkenen over het datalek worden geïnformeerd. Voorts dient uw organisatie zelf een register bij te houden waarin datalekken worden gedocumenteerd.
Zoals hierboven aangegeven kan de Autoriteit Persoonsgegevens, bij niet-naleving van de AVG en dus ook bij het incorrect of niet tijdig handelen na het optreden van een datalek, fikse boetes opleveren. Deze boetes lopen op tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet van uw organisatie.
Voorkomen is natuurlijk altijd beter dan genezen. Zoals besproken zijn er verschillende maatregelen die een organisatie kan nemen om datalekken, voor zover mogelijk, te voorkomen. Voor het geval een datalek zich onverhoopt zou voordoen, verdient het aanbeveling om beleid op te stellen over hoe men binnen de organisatie moet handelen in een dergelijk geval. Kijk bij het opstellen van dit beleid vooral ook naar hetgeen is opgenomen in het verwerkingsregister van een organisatie omtrent de verwerking van persoonsgegevens.
Wij denken graag met u mee bij het opstellen van beleid omtrent het voorkomen van of het handelen in geval van datalekken. Ook beschikken wij over ruime ervaring met het opstellen en beoordelen van onder meer verwerkingsregisters, privacyverklaringen en verwerkersovereenkomsten.
Meer informatie/contact
Heeft u vragen over dit onderwerp of over andere privacyrechtelijke onderwerpen, neem dan gerust contact op met Sylvie Bax of met een van de advocaten van onze sectie ondernemingsrecht.
