Datalek: wanneer melden?

Op 7 mei 2021 meldt NRC dat er ‘Steeds meer bedrijven kampen met datalekken’. Datalekken ontstaan grotendeels door incidenten met eigen personeel, maar er is ook een stijging waarneembaar in datalekken veroorzaakt door aanvallen van buitenaf. Datalekken moeten in sommige gevallen binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (hierna: ‘’AP’’). In dit artikel schets ik de hoofdpunten.

Wat is een datalek?

Volgens artikel 33 van de Algemene verordening gegevensbescherming (hierna: ‘‘AVG’’) dient een inbreuk in verband met persoonsgegevens binnen ‘uiterlijk 72 uur’ gemeld te worden bij de AP. Er is sprake van een inbreuk in verband met persoonsgegevens (datalek), wanneer er een inbreuk plaatsvindt op de beveiliging die ‘per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens’ (artikel 4, punt 12 AVG). Bij een datalek kan er niet alleen gedacht worden aan een cyberaanval of een ransomware-besmetting, maar ook aan het verliezen van een USB-stick of een laptop waarop niet-versleutelde persoonsgegevens staan of het per ongeluk in een mailinglist vermelden van personen in de ‘’cc’’ in plaats van in de ‘’bcc’’.

Wanneer moet ik een datalek melden?

Niet alle datalekken hoeven bij de AP te worden gemeld. U hoeft bijvoorbeeld een datalek niet te melden als ‘het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen’. U maakt dus zelf een risico-inschatting. Indien u meent dat er sprake is van een ‘waarschijnlijk hoog risico’, bijvoorbeeld als de betrokkene te maken kan krijgen met uitsluiting, gezondheids- of financiële schade of (identiteits)fraude, dan moet u óók de betrokkene informeren.

U hoeft een datalek niet te melden als u:

voldoende maatregelen vooraf heeft genomen om inzage in de gelekte persoonsgegevens te voorkomen, bijvoorbeeld doordat de gegevens zijn versleuteld (encryptie) en deze gegevens niet toegankelijk zijn, of
de persoonsgegevens per ongeluk heeft gestuurd aan een betrouwbare ontvanger, bijvoorbeeld een oud-werknemer die de persoonsgegevens zal verwijderen.

U hoeft een ‘hoog risico datalek’ niet aan de betrokkene te melden indien er:

sprake is van een noodzakelijk en evenredig (zwaarwegend) belang, bijvoorbeeld van de openbare orde of bescherming van de privacy van anderen, of
een andere uitzonderingsgrond volgens de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) van toepassing is.

Let op: zelfs als u een datalek niet bij de AP hoeft te melden, moet dit datalek wél intern geregistreerd worden (artikel 33 lid 5 AVG). Dit moet in een zogenoemde ‘datalekregister’. Hierin houdt u bij welke datalekken er in uw organisatie zijn geweest. Daarin omschrijft u incidenten, de gevolgen en de corrigerende maatregelen. Ook omschrijft u per incident of het datalek bij de AP gemeld is en wie de betrokkenen personen zijn.

Als een datalek ten onrechte niet bij de AP wordt gemeld, dan kunt u een boete krijgen. U kunt ook een boete krijgen als u ten onrechte nalaat om de betrokkene bij een ‘hoog risico datalek’ te informeren.

Hoe kan ik risico’s inschatten?

Soms is het vaststellen van risico’s heel duidelijk. Bijvoorbeeld wanneer er medische- of identiteitsgegevens van personen zijn gelekt. In andere gevallen moet u objectief beoordelen hoe hoog de risico’s met het oog op de rechten en vrijheden van natuurlijke personen zijn. Daarbij kunt u rekening houden met onder andere de volgende factoren:

op welke manier zijn de gegevens gelekt (bijvoorbeeld: per ongeluk gewist, (eenmalig) ingezien of gelekt)?
welke gegevens zijn gelekt en hoe groot is de omvang van het datalek?
kunnen personen aan de hand van de gelekte gegevens geïdentificeerd worden?
wat zijn de (mogelijke) gevolgen voor de betrokken personen?
welke maatregelen kunt u nemen of heeft u genomen om ongewenste gevolgen te voorkomen?
hoe groot is de kans op herhaling?

Kortom

Een datalek ontstaat vaak onverwacht en snel, bijvoorbeeld als u per ongeluk personen op de mailinglijst in de ‘’cc’’ in plaats van in de ‘’bcc’’ plaatst. Er moet dan snel gehandeld worden, in ieder geval binnen 72 uur. U dient een risico-inschatting te maken en op basis daarvan mogelijk een melding maken bij de AP en/of aan de betrokkene. Het is daarom aan te raden om een interne procedure op te stellen en (mogelijk) een verantwoordelijke aan te wijzen. Natuurlijk staan de advocaten van Marree + Dijxhoorn advocaten voor u klaar om mee te denken en u te adviseren over de mogelijke stappen na een datalek of bij het opstellen van een interne procedure voor datalekken. Neem contact op met onze praktijkgroep Ondernemingsrecht. Latife Tuncer vertelt u er graag meer over.