Een datalek kan iedere organisatie overkomen. In het geval van een datalek kan het zijn dat jouw organisatie deze moet melden aan de Autoriteit Persoonsgegevens (hierna: AP) en soms ook aan de slachtoffers. Maar wat is een datalek precies? Wanneer moet je deze melden en bij wie? In deze blog geeft Privacy & Legal Consultant Niji uitgebreid antwoord op deze vragen. Je hoeft namelijk niet elk datalek te melden bij de AP, alleen indien er sprake is van een risico voor de rechten en vrijheden van betrokkenen. Het datalek moet gemeld worden aan de slachtoffers als dit een hoog risico voor de rechten en vrijheden van de betrokkenen oplevert.
De Algemene verordening gegevensbescherming (hierna: AVG) geeft geen letterlijke definitie van een datalek maar spreekt van ‘een inbreuk in verband met persoonsgegevens’. Dit is het geval wanneer een inbreuk op de beveiliging leidt tot verlies, ongeoorloofd wijzigen of toegang tot persoonsgegevens, verstrekken, inzien, vernietigen of op een andere manier verwerken van persoonsgegevens. Kort gezegd: er is iets gebeurd met persoonsgegevens terwijl dat niet mocht of de bedoeling was. Een datalek zit in een klein hoekje en kan iedere organisatie overkomen. Voorbeelden van een datalek zijn:
Uit de Rapportage Datalekken 2023 van de AP blijkt dat in 2023 maar liefst 25.694 datalekken zijn gemeld aan de AP. De meeste meldingen waren verkeerd verzonden brieven met daarin persoonsgegevens. Het gaat om 9.899 van dit soort meldingen.
Opvallend is dat in de gezondheidssector 8.929 datalekken zijn gemeld. Dit is de sector met de meeste meldingsplichtige datalekken vanwege de aard van de persoonsgegevens. Dat in deze sector de meeste datalekken worden gemeld aan de AP en aan betrokkenen, komt omdat bij een datalek met medische gegevens altijd sprake is van een hoog risico. Meer dan de helft van het totaal aantal meldingen in deze sector komt door een verkeerd verzonden brief, namelijk 5.779 meldingen.
Enkel vaststellen dat een datalek heeft plaatsgevonden is niet voldoende. Er zijn nog een aantal verplichtingen waaraan je moet voldoen. Ten eerste is van belang dat het datalek wordt geïdentificeerd. Identificeren van het datalek kan bijvoorbeeld met behulp van vragen zoals: Wanneer is het datalek ontstaan en welke persoonsgegevens zijn gelekt? En wat is de oorzaak van het datalek? Indien dit duidelijk is, is het cruciaal dat het datalek zo snel mogelijk stopt, mits deze nog aan de gang is. Daarnaast moeten er maatregelen genomen worden om negatieve gevolgen te minimaliseren. Je kunt daarbij denken aan:
Ook wordt van de organisatie verwacht dat zij maatregelen treffen om soortgelijke inbreuken in de toekomst te voorkomen. Denk aan:
Tegelijkertijd moet een organisatie nagaan of zij het datalek bij de AP en/of aan betrokkenen moeten melden. Dit hangt af van het risico. Wanneer dit wel of niet moet, lees je later in dit blog.
Tot slot, moet de organisatie het datalek ook registreren in hun interne datalekkenregister. De AVG vereist dat organisaties een datalekkenregister bij te houden. Hierin registreert een organisatie welke datalekken hebben plaatsgevonden binnen de organisatie. Er zijn geen regels over hoe dit datalekregister eruit moet zien. Om organisaties te helpen heeft de AP een voorbeeld van een datalekregister gemaakt. Deze is voor elke organisatie bruikbaar en te downloaden op hun website.
Wanneer een datalek plaatsvindt kan de organisatie deze moeten melden bij twee partijen, namelijk de AP en/of de betrokkenen bij het datalek. Of een datalek gemeld moet worden bij de AP hangt af van de mogelijke gevolgen voor de betrokkenen. Hierbij wordt gekeken of het waarschijnlijk is dat een datalek een risico vormt voor ‘de rechten en vrijheden van betrokkenen’. In sommige situaties is het ook nodig om de slachtoffers, ofwel de betrokkenen bij het datalek, te informeren. Dit is het geval wanneer het waarschijnlijk is dat een datalek een hoog risico voor hen oplevert. Voorbeelden van hoge risico’s (voor ‘de rechten en vrijheden van betrokkenen’) zijn discriminatie, financiële schade, identiteitsfraude of reputatieschade.
Risico-inschatting van een datalek
Een organisatie is zelf verantwoordelijk voor het maken van de keuze om een datalek te melden of niet. Het is dus belangrijk om een risico-inschatting te maken. Bij het maken van een risico-inschatting wordt gekeken naar de omstandigheden van het datalek. Om duidelijkheid te krijgen over de omstandigheden kunnen vragen beantwoord worden zoals: Wat zijn de gevolgen voor de slachtoffers? En hoe waarschijnlijk is het dat die gevolgen zich daadwerkelijk voordoen? De uitkomst van de risico-inschatting helpt bij de beslissing om het datalek wel of niet bij de AP te melden en of de betrokkenen geïnformeerd moeten worden. De verwerkingsverantwoordelijke draagt de verantwoordelijkheid voor de beoordeling of het datalek wordt gemeld bij de AP. De verwerkingsverantwoordelijke is de organisatie of persoon die beslist over de doeleinden en middelen voor de verwerking van persoonsgegevens.
Het melden van het datalek
Het melden van een datalek bij de AP kan via het ‘Meldformulier datalekken’ van de AP. Deze melding moet zonder redelijke vertraging en uiterlijk binnen 72 uur bij de AP na het ontdekken van het datalek worden gedaan door de verwerkingsverantwoordelijke. De AP maakt het ook mogelijk om een voorlopige melding te doen, zodat je direct een melding kunt doen zodra je op de hoogte bent van het datalek of wanneer je al bezig bent met het nemen van maatregelen. Deze melding kan je later nog aanpassen en definitief maken, bijvoorbeeld als de maatregelen nog niet geformuleerd kunnen worden of als je nog niet alle informatie met betrekking tot het datalek hebt. Als later blijkt dat er geen melding gedaan hoeft te worden is het ook mogelijk om de melding weer in te trekken.
Als de risico’s van een datalek hoog zijn, moeten betrokkenen zo snel mogelijk worden geïnformeerd, maar uiterlijk binnen 72 uur na kennisname van het datalek. Informeren kan bijvoorbeeld door het sturen van een e-mail. Het is hierbij belangrijk dat de tekst in het waarschuwingsbericht simpel en helder is. Ook moet het voor de slachtoffers duidelijk zijn om wat voor datalek het gaat, bijvoorbeeld een verkeerd verzonden brief, en welke gegevens precies zijn gelekt. Daarnaast is het van belang om de waarschijnlijke gevolgen te benoemen en waar mogelijk specifiek advies te geven aan de slachtoffers. Indien een datalek ten onrechte niet aan slachtoffers wordt gemeld kan de AP je verplichten om de slachtoffers alsnog te informeren. Als het om een datalek gaat met een hoog risico voor de slachtoffers kan de AP een boete opleggen als dit ten onrechte wordt verzwegen voor de slachtoffers.
Als niet wordt voldaan aan de meldplicht kan dat verschillende gevolgen hebben. Ten eerste kan de AP besluiten om een onderzoek te starten als een datalek niet is gemeld, terwijl dit wel had moeten gebeuren. Na onderzoek kan een hoge boete opgelegd worden indien blijkt dat er ten onrechte niet is voldaan aan de meldplicht. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Het hoogste bedrag wordt opgelegd aan de organisatie. Ten tweede kan de organisatie reputatieschade oplopen omdat het vertrouwen verloren gaat indien blijkt dat een organisatie niet op een verantwoordelijke manier omgaat met persoonsgegevens. Het tijdig melden van een datalek is dus van essentieel belang!
Een datalek kan in elke organisatie voorkomen. Er bestaat geen enkele oplossing die een datalek volledig kan voorkomen, maar er zijn manieren om het risico te minimaliseren. Volgens de AVG is het aan organisaties om passende technische en organisatorische maatregelen te treffen ter bescherming van persoonsgegevens. Elke organisatie is uniek en heeft andere maatregelen nodig om de risico’s op datalekken te verkleinen.
Een belangrijke stap is het opstellen van een beveiligingsplan, dat bestaat uit verschillende beveiligingsmaatregelen. Dit begint met een risicoanalyse, waarmee je de kwetsbaarheden binnen de organisatie kunt identificeren. Op basis van deze analyse kun je gerichte maatregelen bepalen en implementeren.
Als er dan toch een datalek voorkomt is het belangrijk om een werkproces te hebben, zodat het duidelijk is wie het eerste aanspreekpunt is en wat de vervolgstappen zijn.
Tot slot is het creëren van bewustwording bij de medewerkers over datalekken van essentieel belang. Dit helpt medewerkers om te begrijpen wat de risico’s zijn van het verwerken van persoonsgegevens en toont het belang van een verantwoorde omgang met deze gegevens aan. Naast bewustwording is een open cultuur voor het melden van datalekken belangrijk, zodat mensen zich aangemoedigd voelen om datalekken te melden zonder vrees voor repercussies.
Een organisatie moet verschillende stappen nemen wanneer een datalek plaatsvindt. Ten eerste is het erg belangrijk dat het datalek wordt geïdentificeerd en zo snel mogelijk stopt, mits deze nog aan de gang is. Daarnaast moeten maatregelen worden genomen om de negatieve gevolgen zo veel mogelijk te minimaliseren. Tegelijkertijd moet een organisatie bepalen of zij het datalek moeten melden bij de AP en/of betrokkenen. Daarbij wordt gekeken of het waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’.
Een organisatie draagt de verantwoordelijkheid voor het inschatten van het risicio en het melden van een datalek. Een datalek met een risico voor de rechten en vrijheden van betrokkenen bevat een meldplicht en moet in ieder geval binnen 72 uur gemeld worden door de verwerkingsverantwoordelijke bij de AP. In sommige situaties is het ook nodig om de betrokkenen van het datalek te informeren, namelijk als het waarschijnlijk is dat een datalek een hoog risico voor hen oplevert. Naast de meldplicht verplicht de AVG ook dat organisaties een intern datalekregister bij moeten houden.
Indien niet aan de meldplicht wordt voldaan kan dat verschillende gevolgen hebben. De AP kan besluiten een onderzoek te starten. Indien blijkt dat ten onrechte niet is voldaan de meldplicht (het datalek is niet gemeld terwijl dit wel had moeten gebeuren) kan de AP een boete opleggen. Deze boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Daarnaast loopt de organisatie reputatieschade op. Het vertrouwen gaat verloren als blijkt dat de organisatie niet op een verantwoordelijke manier met persoonsgegevens omgaat. Kortom: er zitten grote risico’s verbonden aan het niet (op tijd) melden van een datalek!
De Privacy & Legal Consultants van Cuccibu hebben veel ervaring en staan klaar om jouw organisatie te ondersteunen bij uitdagingen op juridische en privacy vlak. Of je nu vragen hebt over de meldplicht van datalekken, het opstellen van een datalekkenprocedure, het implementeren van passende maatregelen, het opstellen van een datalekregister of het voldoen aan de AVG, Cuccibu zorgt dat je in control bent én blijft. Maak vrijblijvend een afspraak en wij luisteren naar jouw verhaal en maken een plan van aanpak dat past bij jouw organisatie.
Reduce Risk, Create Value!
Bronnen: Algemene verordening gegevensbescherming (AVG), Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, Rapportage Datalekken 2023 (AP), De Autoriteit Persoonsgegevens.