Wat houdt de meldplicht van datalekken in?

Wat houdt de meldplicht van datalekken in?

De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Op grond van de AVG moet je een datalek melden bij de Autoriteit Persoonsgegevens (AP) als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Ook als een datalek leidt tot ‘een aanzienlijke kans’ op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht.

Wat beschrijven wij in dit artikel:

• wat een datalek is,
• de categorieën inbreuken,
• wat het doel is van de meldplicht datalekken,
• wanneer je aan de meldplicht moet voldoen en wat deze plicht inhoudt,
• wanneer je een datalek moet melden aan de betrokkenen,
• waar je een datalek moet melden,
• wat de inhoud van een datalek melding dient te zijn,
• over evaluatie & documentatie.

En tenslotte, een stappenplan om in actie te komen en 10 tips voor een professionele datalek registratie.

Wat is een datalek?

Je dient eerst te weten wat een datalek is alvorens je kan voldoen aan de meldplicht die de AVG voorschrijft.

Een datalek wordt in de AVG omschreven als een inbreuk op de beveiliging van persoonsgegevens. Er is niet alleen sprake van een datalek als er persoonsgegevens verloren zijn gegaan, maar ook als onrechtmatige verwerking van de persoonsgegevens ‘niet redelijkerwijs kan worden uitgesloten’.

Een voorbeeld van een datalek is het kwijtraken van een USB-stick met daarop persoonsgegevens. Ook het doorsturen van persoonsgegevens naar een verkeerde ontvanger is een datalek. De meeste datalekken worden veroorzaakt door menselijke fouten.

Ook als niet kan worden vastgesteld of dat daadwerkelijk is gebeurd en welke gegevens dan zijn geraadpleegd, moet de inbreuk worden beschouwd als een datalek. In dat geval kan immers niet worden uitgesloten dat de persoonsgegevens onrechtmatig zijn verwerkt.

Download gratis onze checklist AVG opzetten

Categorieën inbreuken

Je las hierboven al dat een datalek in de AVG omschreven wordt als een inbreuk op de beveiliging van persoonsgegevens. De inbreuken in verband met persoonsgegevens kunnen worden gecategoriseerd in drie categorieën:

• Schending van de vertrouwelijkheid. Wanneer er sprake is van ongeoorloofde of onbedoelde openbaarmaking van, of toegang tot persoonlijke gegevens.
• Wanneer er sprake is van een ongeoorloofde of onopzettelijke wijziging van persoonlijke gegevens.
• Schending van de beschikbaarheid. Wanneer de toegang tot of vernietiging van persoonsgegevens.

Afhankelijk van de omstandigheden kan een inbreuk in één of meer van die categorieën vallen.

In de volksmond wordt een datalek meestal gezien als een ‘schending van de vertrouwelijkheid’. Zolang je bij het woord datalek maar blijft denken aan alle drie de genoemde soorten inbreuken, dan is het niet erg om het over datalekken te hebben.

Wat is het doel van de meldplicht datalekken?

Het doel van de meldplicht is het voorkomen van datalekken en indien deze zich toch voordoen, het beperken van de gevolgen ervan voor de betrokkenen. Aanleiding voor het invoeren van de meldplicht was een aantal incidenten waarbij persoonsgegevens vrijkwamen met nadelige gevolgen voor de persoonlijke levenssfeer van de betrokkenen.

Deze meldplicht bestaat onder de AVG enerzijds uit de verplichting om een ‘inbreuk in verband met persoonsgegevens’ te melden aan de toezichthouder en anderzijds aan de betrokkenen.

Wanneer dien je een datalek te melden?

Op grond van de AVG moet je een datalek melden bij de Autoriteit Persoonsgegevens (AP) als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Ook als een datalek leidt tot ‘een aanzienlijke kans’ op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens is een melding verplicht.

Je dient het datalek zo snel mogelijk, maar uiterlijk binnen 72 uur na de ontdekking, te melden bij het meldloket datalekken van de Autoriteit Persoonsgegevens. Lukt dat niet, dan zal een verklaring gegeven moeten worden voor de vertraging.

Wanneer moet je een datalek melden aan de betrokkenen?

Op grond van de AVG dien je een datalek te melden aan de betrokkenen als het datalek waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer. Denk bijvoorbeeld aan mogelijke identiteitsfraude, onrechtmatige publicatie of discriminatie.

In de AVG is bepaald dat een organisatie een betrokkene op de hoogte moet brengen van een inbreuk op de persoonsgegevens indien de inbreuk ‘een hoog risico’ voor betrokkenen inhoudt. Hierop gelden een aantal uitzonderingen. Zo hoeft een betrokkene niet geïnformeerd te worden wanneer een organisatie maatregelen heeft genomen waarmee de vastgestelde risico’s zijn weggenomen.

Ook geldt een uitzondering op de datalek meldingsplicht aan betrokkenen voor financiële ondernemingen, als bedoeld in artikel 1:1 Wet op het financieel toezicht. Deze uitzondering betekent overigens niet dat de financiële onderneming betrokkenen niet hoeft te informeren; als de zorgplicht daarom vraagt, zal ook de financiële onderneming, ondanks de uitzondering in de Uitvoeringswet AVG, het datalek moeten melden bij de betrokkenen.

In onze specials over datalekken hebben we ook geschreven over:

👉 Datalek en vereerd bezorgde post.

👉 Gestolen apparatuur en datalekken

👉 Identiteitsfraude

👉 Datalek door onoplettendheid

👉 Datalekken en patiëntgegevens

Waar meld ik een datalek?

Organisaties die een datalek willen melden bij de AP, kunnen dat doen via het meldformulier datalekken.

De inhoud van een datalek melding

De melding van het datalek moet in ieder geval de volgende elementen bevatten:

• Een beschrijving van de feiten die leidden tot het datalek,
• Een beschrijving van de waarschijnlijke gevolgen van het datalek,
• Een beschrijving van de genomen corrigerende maatregelen.

Interne documentatie na een melding van een datalek

Het is na een melding van een datalek, ongeacht de risico’s, verplicht en ook zeer raadzaam om alle inbreuken in verband met persoonsgegevens te evalueren en intern te documenteren. Wanneer later wordt gevraagd waarom het datalek niet werd gemeld, is het belangrijk om te kunnen aantonen dat er na een uitvoerige analyse van het datalek een welbewuste keuze is gemaakt over het al dan niet melden ervan. Ook draagt de interne documentatie bij aan de bewustwording, hetgeen van belang is ter preventie van mogelijke toekomstige datalekken.

Bent jij een functionaris gegevensbescherming (FG)? En heb je een vraag over datalekken? Dan kun je ons bellen op (020) 22 659 03.

Kom in actie bij een datalek!

Heeft jouw organisatie te maken met een datalek? Dan is het belangrijk dat je als privacy contactpersoon snel in actie komt. Met dit stappenplan helpen we jou op weg.

Actie 1: zorg voor overzicht

Analyseer onmiddellijk de situatie. Zorg dat je weet wat er is gebeurd en wat de omvang van het lek is. Gaat het om een inbreuk door gelekte, vernietigde of gewijzigde gegevens? Indien gegevens zijn gelekt, onderzoek dan wie er (mogelijk) toegang hebben (gehad) tot welke persoonsgegevens. Deze informatie heb je nodig voor de vervolgstappen.

Actie 2: Beperk de schade!

Bepaal op basis van stap 1 of er maatregelen zijn die je meteen kunt nemen om het datalek te beëindigen en de schade te beperken. En zo ja, neem deze maatregelen onmiddellijk. Bijvoorbeeld door een gestolen laptop op afstand te wissen. Maak tegelijkertijd een inschatting van het (mogelijke) risico dat het datalek oplevert (stap 3).

Actie 3: Wel/niet melden bij de AP

Bepaal of je het datalek verplicht moet melden bij de Autoriteit Persoonsgegevens (AP). Zo ja, zorg dat je dit binnen 72 uur nadat het lek is ontdekt doet. Je moet een datalek melden bij de AP tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van de betrokken personen.

Heb je bij de eerste melding nog niet alle informatie over het datalek? Doe dan een eerste melding binnen 72 uur en doe later een vervolgmelding.

Actie 4: Wel/niet melden aan de betrokken personen

Bepaal of je het datalek verplicht moet melden aan de betrokken personen. Zo ja, zorg dat u dit zo snel mogelijk doet. Je moet een datalek melden aan de betrokken personen wanneer er sprake is van een hoog risico voor de rechten en vrijheden van de betrokken personen.

Actie 5: Registreer het datalek

Registreer het datalek in je verplichte datalekregister. Ook wanneer je het datalek niet meldt aan de AP.

Heb je bovenstaande stappen doorlopen? En alles gedaan om de schade te beperken? Plan dan een evaluatie om een herhaling van het datalek te voorkomen.

Onze training Basis kennis AVG geeft je direct de inzichten om het professioneel aan te pakken.

Hieronder volgen de 10 tips voor professionele datalekregistratie

Tip 1: Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig,

Tip 2: Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check-learn-act cyclus,

Tip 3: Voorkom versnippering van registraties: maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het overzicht kunnen checken voordat zij zelf iets registreren,

Tip 4: Heeft jouw organisatie een functionaris gegevensbescherming (FG)? Neem dan per incident op of de FG betrokken is en, zo ja, in welke mate,

Tip 5: Neem per incident op of het datalek is gemeld bij de AP en de betrokken personen en motiveer waarom dat wel of niet is gebeurd,

Tip 6: Wees transparant naar de getroffen personen als er een datalek is geweest. Communiceer hier duidelijk en tijdig over. Bewaar het bewijs van die communicatie en neem deze op in de registratie,

Tip 7: Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken,

Tip 8: Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk. Bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub verwerkers. Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers,

Tip 9: Overweeg om de datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen,

Tip 10: Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check-learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG of privacy contactpersoon van jouw organisatie kan bij deze besprekingen een actieve rol vervullen.

Lees ook: