Een poststuk komt geopend retour, een laptop wordt gestolen of een e-mail komt bij de verkeerde ontvanger terecht: een inbreuk op de beveiliging van persoonsgegevens wordt ook wel een datalek genoemd. Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken.
Organisaties die persoonsgegevens verwerken zijn verplicht om een datalek te melden aan de Autoriteit Persoonsgegevens (AP). In sommige gevallen moeten de datasubjecten (de personen van wie de gegevens zijn gelekt) ook op de hoogte worden gebracht. Maar zelfs als een datalek niet hoeft te worden gemeld aan de AP of datasubjecten, zijn organisaties volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht om datalekken te documenteren.
Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Er is niet alleen sprake van een datalek als er persoonsgegevens verloren zijn gegaan, maar ook als onrechtmatige verwerking van de persoonsgegevens ‘niet redelijkerwijs kan worden uitgesloten’. Bijvoorbeeld als een verzekeraar ontdekt dat als gevolg van een slecht beveiligde webapplicatie persoonsgegevens ingezien konden worden. Ook als niet kan worden vastgesteld of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd, moet de inbreuk worden beschouwd als een datalek. In dat geval kan immers niet worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt.
Het doel van de meldplicht is het voorkomen van datalekken en indien deze zich toch voordoen, het beperken van de gevolgen ervan voor de betrokkenen. Aanleiding voor het invoeren van de meldplicht was een aantal incidenten waarbij persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen.
Deze meldplicht bestaat onder de AVG enerzijds uit de verplichting om een ‘inbreuk in verband met persoonsgegevens’ te melden aan de toezichthouder en anderzijds aan de betrokkenen.
Op grond van de AVG moet je een datalek melden aan de AP als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Ook als een datalek leidt tot ‘een aanzienlijke kans’ op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht. Uit de AVG handleiding van het ministerie van Justitie en Veiligheid blijkt dat volgens de AVG in principe elk datalek moet worden gemeld, "tenzij het onwaarschijnlijk is dat het lek een gevaar oplevert voor de rechten en vrijheden van natuurlijke personen''. Je dient het lek zo snel mogelijk - niet later dan 72 uur na de ontdekking - te melden. Als dit niet lukt, moet er een verklaring worden gegeven voor de vertraging.
Op grond van de AVG dien je een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie.
In de AVG is bepaald dat een organisatie een betrokkene op de hoogte moet brengen van een inbreuk op de persoonsgegevens indien de inbreuk ‘een hoog risico’ voor betrokkenen inhoudt. Hierop gelden een aantal uitzonderingen. Zo hoeft een betrokkene niet geïnformeerd te worden wanneer een organisatie maatregelen heeft genomen waarmee de vastgestelde risico’s zijn weggenomen. Ook geldt een uitzondering op de datalek meldingsplicht aan betrokkenen voor financiële ondernemingen, als bedoeld in artikel 1:1 Wet op het financieel toezicht. Deze uitzondering betekent overigens niet dat de financiële onderneming betrokkenen niet hoeft te informeren; als de zorgplicht daarom vraagt, zal ook de financiële onderneming, ondanks de uitzondering in de Uitvoeringswet AVG, het datalek moeten melden bij de betrokkenen.
Volgens het AVG-10 stappenplan van de AP blijft de meldplicht datalekken onder de AVG grotendeels hetzelfde. Wel stelt de AVG strengere eisen aan de registratie van datalekken: alle datalekken moeten worden gedocumenteerd. In oktober 2017 hebben de Europese toezichthouders richtlijnen gepubliceerd ten aanzien van de meldplicht datalekken onder de AVG. Als een onderneming de regels vanuit de AVG niet naleeft kan de AP handhavend optreden. Dit houdt in dat de AP een last onder dwangsom of een bestuurlijke boete kan opleggen. Dit kan flink in de papieren lopen: het nalaten van het melden van een datalek kan worden gesanctioneerd met een administratieve boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Daarnaast kan de AP bijvoorbeeld met een bindende aanwijzing van een organisatie verlangen dat een datalek alsnog wordt gemeld aan de betrokkenen. Het niet nakomen van deze aanwijzing kan worden bestraft met een bestuurlijke boete of een last onder dwangsom.
Wil je meer weten over de stappen die je moet volgen bij het identificeren en melden van een datalek? Dan kunt u onze AVG Awareness e-learning volgen via ons opleidingsinstituut, The Ministry of Compliance. Na het volgen van de training ben je bekend met de privacy regels en weet je hoe je in de praktijk moet omgaan met persoonlijke data, datalekken en de rechten van datasubjecten.
Neem gerust contact met ons op