Datalek: wel of niet melden?

Een datalek kan verstrekkende gevolgen hebben, zowel voor uw organisatie als voor de betrokken personen. Daarom is het belangrijk om in het geval van een datalek snel in actie te komen en de juiste stappen te nemen. Eerder publiceerden wij een infographic die u kunt gebruiken om te beoordelen of sprake is van een datalek en of het datalek moet worden gemeld en, zo ja, aan wie. In dit artikel geven wij hierop een nadere toelichting.

Wanneer is er sprake van een datalek?

Bij een datalek gaat het om gevallen waarin sprake is van een inbreuk op de beveiliging, waarbij persoonsgegevens per ongeluk of op onrechtmatige wijze gelekt, vernietigd of gewijzigd zijn. Denk bijvoorbeeld aan een gestolen laptop of een cyberaanval waarbij door een hacker persoonsgegevens van klanten zijn buitgemaakt. Ook is er sprake van een datalek wanneer ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens heeft plaatsgevonden. Dit is bijvoorbeeld het geval wanneer persoonsgegevens naar een verkeerde ontvanger zijn verstuurd.

Moet het datalek worden gemeld en aan wie?

De Algemene Verordening Gegevensbescherming (hierna: AVG) stelt strenge eisen aan de registratie van datalekken in een organisatie. Zo moet een organisatie ieder datalek documenteren, inclusief de feiten over het datalek, de gevolgen daarvan en de naar aanleiding van het datalek genomen maatregelen.

 

Of een organisatie daarnaast een datalek moet melden bij de nationale privacytoezichthouder, in Nederland de Autoriteit Persoonsgegevens (hierna: AP), is afhankelijk van de (potentiële) impact van het datalek op de persoonlijke levenssfeer van de betrokkenen. Belangrijke indicatoren zijn de aard en omvang van de inbreuk en de gevoeligheid van de persoonsgegevens die betrokken zijn bij het datalek. Een datalek hoeft alleen niet te worden gemeld als het niet waarschijnlijk is dat het datalek een risico oplevert voor de rechten en vrijheden van betrokken personen.

Indien wel moet worden gemeld, is een organisatie verplicht om binnen 72 uur (nadat het datalek is ontdekt) melding van het datalek te maken bij AP via het meldloket datalekken.

In sommige gevallen moet er ook melding worden gedaan aan de betrokkenen zelf, zodat de betrokkenen zelf actie kunnen ondernemen. Dat is aan de orde als de inbreuk vermoedelijk ongunstige gevolgen heeft voor de betrokkenen. Denk aan een datalek met gevoelige gegevens over ras, geloof of seksuele geaardheid waardoor het risico op discriminatie bestaat of een datalek met kopieën van identiteitsbewijzen en/of het BSN waardoor het risico op (identiteits-)fraude bestaat. Er is ook sprake van een datalek met een hoog risico wanneer het datalek creditcardgegevens bevat waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op de kosten van een ander, met financiële schade als gevolg.

Wat zijn de mogelijke gevolgen?

Het niet of niet tijdig melden van een datalek is in strijd met de AVG. De Europese privacytoezichthouders kunnen in dat geval hoge boetes opleggen. Dat de privacytoezichthouders daadwerkelijk gebruik maken van deze bevoegdheid, blijkt uit een aantal recent opgelegde boetes. Zo heeft de Britse gegevensbeschermingsautoriteit (ICO) onlangs aangekondigd de vliegtuigmaatschappij British Airways en de Amerikaanse hotelketen Marriott een (record!)boete van, respectievelijk, ruim 200 miljoen euro en 110 miljoen euro op te leggen na een datalek. Lees hier meer over in de blog van Annemarie van Woudenberg.

Voorkom het risico op (hoge) boetes en kom in actie!

Is er sprake van een mogelijk datalek binnen uw organisatie? Dan is het belangrijk om snel in actie te komen en de juiste stappen te nemen.

Heeft u vragen of wilt u meer weten over privacy? Neem dan gerust contact op met een van onze privacy specialisten. Wij staan graag voor u klaar.

Valerie Lipman.

Salary partner: Ondernemen, ICT, intellectuele eigendom en privacy

05 november 2019 Kennis

Stuur Valerie een reactie


  • U kunt erop vertrouwen dat wij uw persoonlijke gegevens verwerken volgens onze privacy policy.