Datalekken – aandachtspunt voor elke onderneming

Vrijwel elke organisatie verwerkt persoonsgegevens. Voor al deze organisaties geldt dat zij sinds 1 januari 2016 onder de meldplicht datalekken vallen. Dit betekent dat organisaties onder bepaalde omstandigheden een datalek moet melden bij in ieder geval bij de Autoriteit Persoonsgegevens, en in sommige gevallen ook bij degene op wie de persoonsgegevens betrekking hebben. Op het niet-naleven van de meldplicht staan forse boetes. Reden dus om de meldplicht nauwgezet na te leven. Hieronder wordt toegelicht wanneer sprake is van een datalek en of dit moet worden gemeld.

Wat is een datalek?

Een datalek houdt in dat data, die te herleiden is tot een identificeerbare persoon, als gevolg van een beveiligingsincident (i) onrechtmatig wordt verwerkt, of (ii) verloren gaat. Als het gevoelige data en/of heel veel data betreft, moet dit datalek direct worden gemeld bij de Autoriteit Persoonsgegevens. Ondernemingen die niet het risico van een boete willen lopen, zullen beleid moeten opstellen en naleven voor het voorkomen van en het omgaan met een datalek.

Wanneer geldt de meldplicht?

De meldplicht datalekken geldt alleen voor organisaties die persoonsgegevens verwerken in de zin van de Wet bescherming persoonsgegevens (de “Wbp“). De organisatie moet bovendien de verantwoordelijke zijn in de zin van de Wbp. De meldplicht geldt niet op het moment dat enkel anonieme gegevens worden verwerkt die op geen manier zijn te herleiden tot een (identificeerbare) persoon.

Wanneer is sprake van datalek?

Als vaststaat dat een organisatie onder de meldplicht datalekken valt, is het vervolgens de vraag wanneer sprake is van een datalek. Uitgangspunt is dat elke organisatie verplicht is om passende voorzorgsmaatregelen te nemen om persoonsgegevens afdoende te beschermen tegen verlies of ongeoorloofd gebruik daarvan. Het kan echter voorkomen dat op die beveiliging toch inbreuk wordt gemaakt. Gelukkig leidt niet elke inbreuk tot een datalek. Er kan alleen sprake zijn van een datalek als zich daadwerkelijk een ‘beveiligingsincident’ heeft voorgedaan. Bij een beveiligingsincident valt te denken aan een kwijtgeraakte USB-stick, aan de diefstal van een laptop of aan een inbraak door een hacker. Als alleen sprake is van een zwakke plek in de beveiliging, wordt gesproken van een beveiligingslek en niet van een datalek. In dat geval hoeft dan geen melding worden gemaakt bij de Autoriteit Persoonsgegevens.

Vervolgens is het zo dat niet elk beveiligingsincident ook een datalek is. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kan worden uitgesloten. Verlies betekent dat de persoonsgegevens niet langer toegankelijk zijn; bijvoorbeeld omdat de harde schijf waarop de gegevens werden bewaard, is verwoest en er geen back up is gemaakt. Op het moment dat persoonsgegevens kunnen worden ‘hersteld’, bijvoorbeeld door een back-up, worden deze niet als verloren beschouwd. Als data niet verloren is gegaan, is het gevaar nog niet geweken. Het beveiligingsincident kan ertoe leiden dat ongeautoriseerde personen toegang krijgen tot bepaalde gegevens, of juist dat geautoriseerde personen de toegang wordt ontzegd. Denk bijvoorbeeld aan een e-mail die naar de verkeerde geadresseerde wordt gestuurd, of een bestand dat door malware niet meer te openen is. Dit wordt samengevat onder de noemer ‘onrechtmatige verwerking’. Als het beveiligingsincident niet heeft geleid tot verlies van persoonsgegevens of de onrechtmatige verwerking daarvan, is er geen datalek.

Wat te doen bij een datalek?

Als er een datalek is, hoeft dit niet altijd gemeld te worden. Volgens de Wbp moet een melding aan de Autoriteit Persoonsgegevens worden gemaakt als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Factoren die bij de beoordeling hiervan een rol spelen zijn de aard van de gelekte persoonsgegevens, de hoeveelheid gelekte persoonsgegevens per persoon en het aantal betrokkenen van wie er persoonsgegevens zijn gelekt. Bij elk datalek zullen deze factoren opnieuw moeten worden afgewogen. Dit maakt dat er geen kant-en-klare handleiding te maken is waarin staat wat wel en wat niet gemeld hoeft te worden. Wel kan in zijn algemeenheid gesteld worden dat in het geval van een datalek waarbij bijzondere persoonsgegevens (persoonsgegevens van gevoelige aard) betrokken zijn, de kans groot is dat dit gemeld moet worden. Dit geldt zeker als het om een grote hoeveelheid van dat soort gegevens gaat. Te denken valt aan en datalek bij de financiële administratie van een commerciële bank of de patiëntenadministratie van een zorginstelling.

Als de conclusie getrokken wordt dat een datalek aan de Autoriteit Persoonsgegevens moet worden gemeld, dan betekent dit niet automatisch dat dit datalek ook aan de betrokkene(n) moet worden gemeld. Hiervoor moet een aparte afweging gemaakt worden. De Wbp geeft aan dat een melding aan de betrokkene(n) moet worden gedaan als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij valt te denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als persoonsgegevens van gevoelige aard zijn gelekt, moet er in principe vanuit gegaan worden dat het datalek niet alleen aan de Autoriteit Persoonsgegevens gemeld moet worden, maar ook aan de betrokkene(n).

Hoe moet de datalek worden gemeld?

De Wbp schrijft voor dat een datalek ‘onverwijld’, dus zonder uitstel, moet worden gemeld. Daaraan is een termijn verbonden van 72 uur na het ontdekken van het veiligheidsincident dat het datalek heeft veroorzaakt. Binnen die 72 uur moet het incident bij de Autoriteit Persoonsgegevens worden gemeld; en onder omstandigheden (daarna) ook bij de betrokkene(n).

Voor melding bij de Autoriteit Persoonsgegevens kan een standaardformulier worden gebruikt, dat op de website van de Autoriteit Persoonsgegevens moet worden geüpload. Voor melding aan een betrokkene geldt dat de organisatie moet aangeven wat voor type datalek zich heeft voorgedaan, tot wie de betrokkene zich kan melden voor meer informatie, en wat de betrokkene kan doen om eventuele negatieve gevolgen van het datalek zoveel mogelijk te beperken. De organisatie moet die informatie op een ‘behoorlijke en zorgvuldige’ wijze aan de betrokkene verstrekken.

Maatregelen ter voorkoming van datalek

Een datalek kan, realistisch gezien, nooit helemaal worden uitgesloten. Het is daarom van essentieel belang dat uw organisatie zicht heeft op de data die wordt verwerkt, en de juiste beveiligingsmechanismen implementeert om ervoor te zorgen dat de mogelijkheid van een datalek zoveel mogelijk wordt beperkt. Verder moet er intern duidelijkheid bestaan over de vraag hoe met een datalek moet worden omgegaan, zodat hier op tijd melding van kan worden gemaakt.

Een intern beleid voor datalekken is niet alleen vanuit preventief oogpunt interessant. Bij het vaststellen van (de hoogte van) de boete, houdt de Autoriteit Persoonsgegevens namelijk ook rekening met de vraag of het (niet melden van het) datalek de organisatie kan worden verweten. Als de meldplicht niet opzettelijk is geschonden en geen sprake is van verwijtbare nalatigheid, mag de Autoriteit Persoonsgegevens volstaan met een bindende aanwijzing vóórdat een eventuele boete wordt opgelegd. Het loont dus de moeite om hier aandacht aan te besteden.

Ovidius inventariseert graag met u welke aandachtspunten binnen uw organisatie vanuit een oogpunt van de Wbp prioriteit hebben, en welke maatregelen er genomen kunnen worden om aan de vereisten van de meldplicht datalekken te (gaan) voldoen.