Wat is een datalek en wanneer moet u een datalek melden?

Grote kans dat u weleens een e-mail heeft ontvangen met de mededeling dat uw persoonsgegevens zijn gelekt. En zelfs als dat niet zo is, dan heeft u ongetwijfeld wel in het nieuws berichten over bijvoorbeeld EasyJet, Bol.com, Blokker, de GGD, Ticketcounter, RIAGG Rijnmond en Facebook/WhatsApp meegekregen. Volgens de Autoriteit Persoonsgegevens (AP) is het aantal meldingen van datalekken in 2020 met 30 procent gestegen ten opzichte van 2019. En het ziet ernaar uit het aantal meldingen in 2021 ook zal toenemen.

Het is dus steeds belangrijker dat u weet wanneer er sprake is van een datalek en wanneer u een datalek moet melden. In deze blog geef ik voorbeelden van datalekken en zet ik uiteen wat u moet doen bij een datalek.

Wat is een datalek?

Een datalek, wat is dat nu precies? Pas als u een datalek kunt herkennen, kunt u weten of u melding van een datalek moet maken. De Algemene Verordening Gegevensbescherming (AVG) definieert een datalek als volgt:

“...een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Met andere woorden: een datalek is een soort beveiligingsincident. Is elk beveiligingsincident dan meteen een datalek? Niet per se. Er zijn grofweg drie soorten datalekken: verlies van persoonsgegevens, ongeoorloofde of onbedoelde verstrekking van persoonsgegevens, en ongeoorloofde toegang tot persoonsgegevens. Hieronder een aantal voorbeelden van datalekken ter illustratie.

Wat is een datalek: voorbeelden

Verlies van persoonsgegevens

• Een externe harde schijf met daarop een kopie van een klantenbestand van een bedrijf is zoekgeraakt of gestolen. Zeker als de gegevens niet versleuteld zijn en er geen back-up is, is er sprake van een datalek met een hoog risico.
• Verlies van beschikbaarheid: de enige kopie van een klantenbestand is versleuteld door gijzelsoftware (ransomware) of door de verwerkingsverantwoordelijke zelf omdat deze de (decodeer)sleutel kwijt is geraakt. De gegevens zijn daarmee permanent verloren.

Ongeoorloofde of onbedoelde verstrekking van persoonsgegevens

• Een fractiemedewerker van een politieke partij stuurt een uitnodiging voor een bijeenkomst per e-mail aan honderd mensen, maar zet deze honderd e-mailadressen in het aan- of CC-veld in plaats van het BCC-veld. E-mailadressen, namen en politieke voorkeur zijn hierbij gelekt (politieke voorkeur is een bijzonder persoonsgegeven en daarmee extra beschermd). Ook in dit geval is er dus sprake van een datalek met een hoog risico.
• Een medewerker bij een groot aannemingsbedrijf voegt per ongeluk een bestand met daarin een overzicht met de adressen, inkomens en het eigen vermogen van 1.100 woningzoekenden en hun 700 levenspartners, bij een e-mail aan deze 1.100 woningzoekenden.
• Een HR-medewerker mailt een concept van een arbeidsovereenkomst naar een nieuwe medewerker, maar maakt een typefout in het e-mailadres. De arbeidsovereenkomst met daarin gevoelige gegevens zoals naam, adres, geboortedatum, inkomen en BSN-nummer van de nieuwe medewerker komt bij een onbekend persoon terecht.

Ongeoorloofde toegang tot persoonsgegevens

• De ledenomgeving van een sportvereniging wordt gehackt. In deze ledenomgeving staan de namen, adressen, contactgegevens en bankrekeningnummers van zo’n 90.000 leden.

Wanneer moet u een datalek melden bij de AP?

Stel: u merkt een datalek op. De AVG legt alle verwerkingsverantwoordelijken een meldingsplicht datalekken op. Maar wanneer geldt deze meldplicht? Moet u elk datalek melden? De AVG zegt hierover het volgende:

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Nogal een mond vol, maar het komt hierop neer: om te bepalen of er überhaupt een melding gedaan moet worden, moet het risico voor de bij het datalek betrokken personen worden beoordeeld. Ook moet er worden bepaald welke acties nodig zijn om gevolgen van het datalek zoveel mogelijk te beperken. Dit onderzoek naar de risico’s en acties moet binnen 72 uur nadat het datalek heeft plaatsgevonden gedaan worden. Is de conclusie dat er een melding moet worden gedaan, dan moet dat ook binnen deze 72 uur gebeuren.

Voorbeelden te melden datalekken

Maar hoe weet u nu of er sprake is van een hoog risico voor betrokkenen en dus of u een datalek moet melden? Zo’n risicobeoordeling is niet altijd even eenvoudig, maar wel van groot belang. Daarom een aantal voorbeelden om u op weg te helpen:

• een datalek waarbij financiële gegevens betrokken zijn, moet altijd gemeld worden. Deze vallen namelijk onder de noemer ‘gevoelige gegevens’, welke extra beschermd moeten worden;
• als er bij een datalek persoonsgegevens van kinderen betrokken zijn of uit de gelekte gegevens de politieke voorkeur van betrokkenen blijkt, moet het datalek ook altijd worden gemeld. Ook dit zijn namelijk bijzondere en/of gevoelige gegevens die extra bescherming behoeven;
• een datalek waarbij persoonsgegevens zijn gelekt die al publiekelijk beschikbaar zijn (bijvoorbeeld via niet-afgeschermde social media kanalen), hoeft niet te worden gemeld;
• een datalek in de vorm van een e-mail die naar een foutief e-mailadres of naar 200 geadresseerden via het aan- of CC-veld is gestuurd, hoeft niet gemeld te worden mits het slechts om bijvoorbeeld een uitnodiging voor een evenement gaat zonder dat daarin nadere persoonsgegevens van de geadresseerden staan vermeld.

Moet u een datalek ook melden bij de betrokkenen?

Melden bij de AP is één ding, maar hoe zit het bij de betrokkenen? Bent u hen verplicht te melden dat hun gegevens zijn gelekt? Het korte antwoord: nee, niet alle datalekken die aan de AP moeten worden gemeld, moeten ook aan de betrokkenen kenbaar worden gemaakt.

U moet de betrokkenen wél op de hoogte stellen als het waarschijnlijk is dat een datalek een hoog risico voor hun rechten en vrijheden met zich meebrengt. Daar is sprake van als het datalek kan leiden tot lichamelijke, materiële of immateriële schade (discriminatie, identiteitsdiefstal of -fraude, financieel verlies en reputatieschade). Bijvoorbeeld wanneer er bijzondere of gevoelige persoonsgegevens zijn gelekt (bijvoorbeeld etniciteit, religie, medische gegevens of financiën).

Kanttekening – als er aan de volgende door de AVG genoemde drie voorwaarden wordt voldaan, hoeft u het datalek ook niet aan de betrokkenen te melden:

• er zijn passende technische en organisatorische maatregelen genomen om persoonsgegevens vóór het datalek te beschermen (denk aan encryptie);
• onmiddellijk na het datalek zijn er maatregelen genomen om het hoge risico voor de rechten en vrijheden van betrokkenen alsnog te beperken of voorkomen (zoals het intrekken van een verzonden e-mail);
• als contact opnemen met de betrokkenen een onevenredige inspanning zou vergen, bijvoorbeeld omdat contactgegevens door het datalek verloren zijn gegaan of überhaupt niet bekend waren

Dus: datalek melden of niet?

Misschien heeft u nog steeds vragen over of u nu een datalek moet melden of niet. Want hoe moet u nu precies onderzoeken of er sprake is van een hoog risico? Wat als het gegevens betreft die hier niet genoemd zijn?

Het is en blijft ook een complexe kwestie. Bij twijfel is ons advies: liever het zekere voor het onzekere. Als de AP een datalek ontdekt dat onterecht niet gemeld is, kunt u een boete opgelegd krijgen. Of u kunt in een conflict met betrokkenen verwikkeld raken. Meld een datalek liever wel dan niet, dat scheelt u op langere termijn een hoop.

Blijkt dat u het datalek bij de AP moet melden? Dat kan via het Meldloket datalekken.

Vragen over datalekken of de AVG?

Privacy is een steeds belangrijker onderwerp. Belangrijk dus om uw zaken goed op orde te hebben, ook buiten datalekken om. Hoe zit het met uw privacy statement? Welke gegevens moeten binnen uw bedrijf goed beschermd worden, en hoe doet u dat? Wat als u in conflict verwikkeld raakt vanwege een privacykwestie?

Mijn collega-specialisten overeenkomstenrecht en ik staan u graag bij over dergelijke onderwerpen. Maak een afspraak voor een gratis en vrijblijvend kennismakingsgesprek en wij helpen u direct zo goed mogelijk verder.

Gratis kennismaken

Ook interessant:

• De rollen binnen de AVG en hun betekenis
• De Algemene verordening gegevensbescherming (AVG)
• De drie meest voorkomende vragen over algemene voorwaarden
• Opgelet: is een verwerkersovereenkomst altijd nodig?
• Jurist bij een advocatenkantoor: maak kennis met Bertine

< Terug naar overzicht