Een poststuk komt geopend retour, een laptop wordt gestolen of een e-mail komt bij de verkeerde ontvanger terecht: een inbreuk op de beveiliging van persoonsgegevens wordt ook wel een datalek genoemd. Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken.
Organisaties die persoonsgegevens verwerken zijn verplicht om een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten de datasubjecten (de personen van wie de gegevens zijn gelekt) ook op de hoogte worden gebracht. Maar zelfs als een datalek niet hoeft te worden gemeld aan de AP of datasubjecten, zijn organisaties volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om datalekken te documenteren.
Wat is een data lek?
Een data lek is een lek van persoonlijke data beveiliging. Er is niet alleen sprake van een data lek als persoonlijke data verloren gaat, maar ook als onrechtmatige verwerking van persoonlijke data "niet kan worden uitgesloten". Bijvoorbeeld als een verzekeraar ontdekt dat persoonlijke data kon worden bekeken als gevolg van een slecht beveiligde webapplicatie. Zelfs als niet kan worden vastgesteld of dat daadwerkelijk is gebeurd en waar data toegang toe is verkregen, moet het lek worden beschouwd als een data lek. In dat geval case kan immers niet worden uitgesloten dat de persoonsgegevens data onrechtmatig zijn verwerkt.
Wat is het doel van de meldingsplicht voor data lekken?
Het doel van de meldplicht is het voorkomen van datalekken en indien deze zich toch voordoen, het beperken van de gevolgen ervan voor de betrokkenen. Aanleiding voor het invoeren van de meldplicht was een aantal incidenten waarbij persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen.
Onder de AVG bestaat deze meldplicht uit de verplichting om een "persoonlijk data lek" te melden aan de toezichthoudende autoriteit enerzijds en aan de data betrokkenen anderzijds.
Wanneer moet ik een lek op data melden?
Onder de AVG, moet u een data lek melden aan de regelgevende instantie als het ernstige nadelige gevolgen heeft voor de bescherming van persoonlijke data. Melding is ook verplicht als een data lek leidt tot "een aanzienlijke kans" op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens data. Uit de AVG handleiding van het ministerie van Justitie en Veiligheid blijkt dat volgens de AVG in principe elk data lek moet worden gemeld, "tenzij het onwaarschijnlijk is dat het lek een risk gevaar oplevert voor de rechten en vrijheden van natuurlijke personen. U moet het data lek zo snel mogelijk melden - maar niet later dan 72 uur na de ontdekking. Als dit niet lukt, moet er een verklaring worden gegeven voor de vertraging.
Wanneer moet je een lek op data melden aan de betrokkenen?
Op grond van de AVG dien je een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie.
De AVG bepaalt dat een organisatie een data betrokkene op de hoogte moet stellen van een data lek als het lek "een hoog risk" oplevert voor data betrokkene. Hierop zijn een aantal uitzonderingen. Een data betrokkene hoeft bijvoorbeeld niet op de hoogte te worden gebracht als een organisatie maatregelen heeft genomen die de geïdentificeerde risico's hebben weggenomen. Een uitzondering op de meldplicht van data lekken aan data subjecten geldt ook voor financiële ondernemingen, zoals bedoeld in artikel 1:1 van de Wet op het financieel toezicht (Wft). Deze uitzondering betekent overigens niet dat de financiële onderneming de data subjecten niet hoeft te informeren; als de zorgplicht dit vereist, zal ondanks de uitzondering in de Uitvoeringswet AVG ook de financiële onderneming het data lek moeten melden aan de data subjecten.
Wat zijn de sancties voor het niet voldoen aan de meldingsplicht voor lekken op data ?
Volgens het AVG-10 stappenplan van de AP blijft de meldplicht datalekken onder de AVG grotendeels hetzelfde. Wel stelt de AVG strengere eisen aan de registratie van datalekken: alle datalekken moeten worden gedocumenteerd. In oktober 2017 hebben de Europese toezichthouders richtlijnen gepubliceerd ten aanzien van de meldplicht datalekken onder de AVG. Als een onderneming de regels vanuit de AVG niet naleeft kan de AP handhavend optreden. Dit houdt in dat de AP een last onder dwangsom of een bestuurlijke boete kan opleggen. Dit kan flink in de papieren lopen: het nalaten van het melden van een datalek kan worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Daarnaast kan de AP bijvoorbeeld met een bindende aanwijzing van een organisatie verlangen dat een datalek alsnog wordt gemeld aan de betrokkenen. Het niet nakomen van deze aanwijzing kan worden bestraft met een bestuurlijke boete of een last onder dwangsom.
AVG Awareness e-learning
Wil je meer weten over de stappen die je moet volgen bij het identificeren en melden van een datalek? Dan kunt u onze AVG Awareness e-learning volgen via ons opleidingsinstituut, The Ministry of Compliance. Na het volgen van de training ben je bekend met de privacy regels en weet je hoe je in de praktijk moet omgaan met persoonlijke data, datalekken en de rechten van datasubjecten.
Wil je meer weten?
Neem gerust contact met ons op