Een voorbeeld van een datalek in de praktijk: In mijn mailbox verschijnt een berichtje van mr. X: “Goedemiddag, Graag verwijs ik u naar de bijlage. ”Tegen mr. X heb ik enige tijd geleden een procedure gevoerd. In de bijlage zit een brief gericht aan ene Gerritsen wonende in Tiel. In de brief zet mr. X. de kansen in een zaak tegen de werkgever van Gerritsen en uiteen en kan ik lezen dat Gerritsen een behoorlijk goed loon heeft. Gerritsen ken ik niet en het bedrijf waarvoor hij werkt ook niet. Ik stuur mr. X een mailtje terug dat deze e-mail waarschijnlijk niet voor mij bestemd is en verwijder het bericht. Daarmee is de zaak voor mij gesloten. Voor mr. X. ook..? Is sprake van een datalek en zo ja, moet mr. X. dit datalek melden bij de Autoriteit Persoonsgegevens en bij Gerritsen?
Datalek of niet?
Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.
Er is sprake van een datalek als er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of als je niet kunt uitsluiten dat de persoonsgegeven onrechtmatig zijn verwerkt. Een onrechtmatige verwerking kan bijvoorbeeld zijn dat een onbevoegde kennis neemt of kan nemen van de persoonsgegevens, de persoonsgegevens kunnen worden gewijzigd of aangetast. De hacker die aan de haal gaat met het klantenbestand, de USB-stick die je verliest met daarop alle loonstroken van jouw werknemers.
Registreren van een datalek
Ieder datalek, ongeacht of het moet worden gemeld aan de Autoriteit Persoonsgegevens en betrokkenen, moet worden gedocumenteerd. Het is gebruikelijk om datalekken te documenteren in een datalekregister.
Welke informatie moet geregistreerd worden:
- Een korte omschrijving van het datalek
- Datum waarop het datalek plaatsvond
- Wat er met de gegevens is gebeurd (zijn ze verloren gegaan, of door een onbevoegde ingezien, gekopieerd of gewijzigd?)
- Van welke groep(en) personen er gegevens zijn gelekt en om hoeveel personen het gaat
- Om welke soorten gegevens het gaat
- De (mogelijke) gevolgen van de inbreuk (bijvoorbeeld een risico op identiteitsfraude of reputatieschade)
- De maatregelen die zijn genomen naar aanleiding van het lek. Welke actie is ondernomen om schade te voorkomen of zo veel mogelijk te beperken (bijvoorbeeld het op afstand wissen van gegevens, of het wijzigen van wachtwoorden. Maar ook: wat heeft je gedaan om te zorgen dat het niet nog een keer kan gebeuren?)
Melden aan de Autoriteit Persoonsgegevens of niet?
Nee, dat hoeft niet altijd. Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de betrokkene. Denk aan negatieve gevolgen als identiteitsfraude of reputatieschade.
Het sturen van een e-mail naar een verkeerde persoon waarin persoonsgegevens van een ander staan vermeld, kan zeker beschouwd worden als een datalek. In het voorbeeld dat ik gaf, heeft mr. X. behoorlijk gevoelige gegevens gelekt. Ik weet niet alleen waar Gerritsen werkt, hoeveel hij verdient, maar ook nog eens dat hij is verwikkeld in een procedure tegen zijn werkgever.
Mr. X. moet binnen 72 uur nadat hij ontdekt heeft dat hij per ongeluk een e-mail aan mij heeft gestuurd een melding doen bij de Autoriteit Persoonsgegevens.
Het melden van een datalek kan eenvoudig via de website van de Autoriteit Persoonsgegevens. Op de website kan een formulier worden ingevuld, waarbij je alle gegevens over het datalek meldt.
Melden aan betrokkene of niet?
Nee. JE hoeft de betrokkenen (de personen van wie je gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kunt je aannemelijk maken dat dit niet zo is? Dan hoeft je het datalek niet aan betrokkenen te melden.
Let op: je moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens. Als dat zo is, geeft je in jouw melding aan dat je het datalek niet heeft gemeld aan de betrokkenen. Als onderbouwing hiervoor vermeldt je welke redenen je heeft om betrokkenen niet te informeren.
Hoog risico
Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet je onder andere kijken of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen. Zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
Omdat in het geval van mr. X. wel erg gevoelige data is gelekt, doet mr. X. er verstandig aan dit toch te melden bij Gerritsen.
Weet je wat te doen bij een datalek?
JE verstuurt een e-mail aan een verkeerd persoon, verliest jouw iPhone of een laptop wordt uit jouw auto gestolen. Allerlei situaties waarbij sprake kan zijn van een datalek dat je moet melden aan de Autoriteit Persoonsgegevens. Op deze pagina staat omschreven wanneer je een datalek wel en niet hoeft te melden.
Tips om datalekken te voorkomen
Om de kans op datalekken te voorkomen hebben wij een aantal tips voor jullie:
- Gebruik sterke wachtwoorden en zorg ervoor dat je op afstand jouw telefoon, Ipad en/of laptop zo onbruikbaar mogelijk maakt.
- Blijf kritisch
- Investeer tijd in het opleiden van je medewerkers en het opstellen van interne processen rondom privacy, datalekken en het melden van datalekken.
- Gebruik 2-trapsverificatie
- Wissel gevoelige gegevens op een veilige manier uit (bijvoorbeeld een wachtwoord voor het openen van een e-mail of via Zivver)
Datalekken zijn in de praktijk niet te voorkomen: de boetes van de Autoriteit Persoonsgegevens wel…!
Mochten jullie vragen hebben over de AVG en/of andere privacyvraagstukken, bel of mail ons dan gerust om je situatie aan ons voor te leggen via 088 0034 300of info@hooglander-advocaten.nl.
