Ga jij de uitdaging aan? Met tropische temperaturen, de rosé die koud ligt en de…
Schiet mij maar (data)lek……
Schiet mij maar (data)lek……
Datalekken….u hebt er vast wel eens van gehoord. Maar hoe zit het nu precies?
Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
- Waarom zijn deze regels er?
Deze regels zijn nodig omdat mensen steeds meer persoonsgegevens bekend (moeten) maken. Wanneer u bijvoorbeeld in een webshop iets koopt moet u altijd uw naam, adres, woonplaats, creditcardnummer en vaak ook uw geboortedatum en andere informatie invullen. Deze gegevens zijn persoonsgegevens en de meeste consumenten willen niet dat al deze gegevens zo maar op straat komen te liggen. Om deze gegevens te beschermen is de Wet bescherming persoonsgegevens (Wbp) opgesteld. Daarin wordt bepaald dat iedereen recht heeft op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. Een van de belangrijkste verplichtingen die uit deze wet voortvloeit is de verplichting voor eenieder die persoonsgegevens verwerkt om deze te beveiligen tegen verlies en tegen onrechtmatige verwerking (artikel 13 Wbp). Daaraan is recent de meldplicht datalekken toegevoegd.
- Wat is nu eigenlijk een datalek?
Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden. Dat er sprake is van een datalek wanneer u gehackt bent is dus duidelijk, maar er kan al veel sneller sprake zijn van datalekken. Andere voorbeelden zijn het tijdelijk niet werken van de beveiliging, een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een verloren telefoon.
- Melden of niet?
Gelukkig hoeft niet alles gemeld te worden bij de Autoriteit Persoonsgegevens. Er is sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan (zoals het kwijtraken van een USB-stick, de diefstal van een laptop of aan een inbraak door een hacker). Niet ieder beveiligingsincident is ook een datalek. Er is alleen een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als u onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. U hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens.
U hoeft bovendien ook niet ieder datalek te melden aan de Autoriteit Persoonsgegevens. Volgens de wet moet u een melding doen als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Een factor die hierbij een rol speelt is de aard van de gelekte persoonsgegevens. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan is over het algemeen een melding noodzakelijk.
Bij persoonsgegevens van gevoelige aard moet u denken aan:
- gegevens over iemands godsdienst of levensovertuiging,
- ras,
- politieke gezindheid,
- gezondheid,
- seksuele leven,
- lidmaatschap van een vakvereniging, en
- strafrechtelijke persoonsgegevens en
- persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, maar ook
- gegevens over de financiële of economische situatie van de betrokkene.
Daarnaast zijn gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, gebruikersnamen, wachtwoorden en andere inloggegevens en gegevens die kunnen worden misbruikt voor (identiteits)fraude natuurlijk ook persoonsgegevens van gevoelige informatie.
Ook andere factoren, zoals de hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt, kunnen aanleiding zijn om het datalek te melden. Maar let op: als de aard van de gelekte gegevens daar aanleiding toe geeft is het mogelijk dat u een datalek al moet melden waar de persoonsgegevens van slechts één persoon bij betrokken zijn.
U moet de melding doen zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek. Op de website van de Autoriteit Persoonsgegevens is voor dit doel een webformulier beschikbaar. Via dit webformulier kunt u de melding zo nodig later nog aanvullen of intrekken.
- Melden aan de betrokkene?
Als u tot de conclusie komt dat u een datalek moet melden aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat u dit datalek ook moet melden aan de betrokkene. U moet hiervoor een aparte afweging maken.
De wet geeft aan dat u een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet u bijvoorbeeld denken aan:
- onrechtmatige publicatie,
- aantasting in eer en goede naam,
- (identiteits)fraude of
- discriminatie.
Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kunt u er in principe van uit gaan dat u het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene.
Uw melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld, een gelekt wachtwoord te vervangen. De wet schrijft voor dat u de melding onverwijld moet doen. U moet daarbij rekening houden met het feit dat de betrokkene naar aanleiding van uw melding mogelijk maatregelen moet nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder u de betrokkene daarover informeert, hoe eerder deze in actie kan komen.
Als u passende technische beschermingsmaatregelen (zoals encryptie) heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kunt u de melding aan de betrokkene achterwege laten.
- Maatwerk
Het melden van een datalek is uiteindelijk maatwerk. U zult per geval moeten beoordelen of er sprake is van alleen een beveiligingslek of ook van een datalek en zo ja, of dat gemeld moet worden aan de Autoriteit Persoonsgegevens en/of aan de betrokkene. Zorgvuldigheid is hierbij geboden want handelen in strijd met de wet kan leiden tot een boete en zelfs tot aansprakelijkheid voor de schade die betrokkenen kunnen lijden als gevolg van het uitlekken van hun persoonsgegevens. Wees dus alert op mogelijke datalekken en neem tijdig de juiste maatregelen.
Meer weten?
Neem dan geheel vrijblijvend contact op met mevrouw mr. Christel van den Reek.