AVG-serie: meldplicht datalekken

“Gegevens tweeduizend patiënten waren toegankelijk door lek”, “Laptop met patiëntgegevens gestolen uit ziekenhuis”, “Privégegevens bijna 900 werkzoekenden op straat na e-mailfout”. Uit deze koppen blijkt dat beveiligingsincidenten met persoonsgegevens niet meer weg te denken zijn uit het nieuws. Deze beveiligingsincidenten waren in sommige gevallen datalekken.

Per 1 januari 2016 is de meldplicht datalekken ingevoerd in de Wet bescherming persoonsgegevens (‘Wbp’). De meldplicht datalekken verplicht organisaties bepaalde datalekken te melden aan de Autoriteit Persoonsgegevens (‘AP’) en in sommige gevallen ook aan de betrokkene wiens persoonsgegevens zijn gelekt.

Per 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (‘AVG’) van toepassing. Ook op grond van de AVG zijn organisaties verplicht bepaalde datalekken te melden.

Hierna zal onder meer worden besproken wat een datalek is en wanneer een organisatie verplicht is een datalek te melden. Hierbij zal ook worden ingegaan op de verschillen tussen de meldplicht datalekken onder de Wbp en de AVG.

Wat is een datalek?

Van een datalek is sprake als een beveiligingsincident heeft plaatsgevonden, waarbij persoonsgegevens verloren zijn gegaan of niet is uit te sluiten dat persoonsgegevens in handen van derden zijn gevallen. Daarbij is niet relevant of een beveiligingsincident opzettelijk of per ongeluk heeft plaatsgevonden.

Als een organisatie voor de beveiliging van de systemen een verouderde versie van antivirussoftware gebruikt, is daarmee dus nog geen sprake van een datalek. Er is dan hooguit sprake van een beveiligingslek. Maar zodra vervolgens een virusbesmetting van de systemen tot gevolg heeft dat persoonsgegevens (van bijvoorbeeld werknemers of klanten) toegankelijk zijn geworden voor derden, is wel sprake van een datalek.

Andere voorbeelden van beveiligingsincidenten waarbij sprake kan zijn van een datalek, zijn een e-mail verzonden aan een verkeerde geadresseerde, het vergeten van een geheugenkaart in de trein, diefstal van een laptop of het uitbreken van brand waarbij systemen met persoonsgegevens beschadigd raken en waarvan geen back-up is gemaakt.

Wanneer moet een datalek worden gemeld?

Niet ieder datalek hoeft te worden gemeld. Voor een datalek dat wel meldingsplichtig is, moet bovendien worden vastgesteld of melding aan enkel de Autoriteit Persoonsgegevens volstaat of dat tevens melding aan de betrokkene vereist is. Deze afweging moet in beginsel door een organisatie zelf worden gemaakt. Om organisaties bij deze afweging te ondersteunen, heeft de AP in het kader van de Wbp richtsnoeren opgesteld. Aangezien de meldplicht datalekken onder de AVG zal wijzigen, verwachten wij dat soortgelijke richtsnoeren ook zullen worden opgesteld in het kader van de AVG.

Wanneer moet een datalek worden gemeld bij de Autoriteit Persoonsgegevens?

Onder de Wbp geldt dat een datalek aan de AP moet worden gemeld, als het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Bij de afweging daarvan spelen de hoeveelheid gelekte persoonsgegevens, het aantal betrokkenen van wie persoonsgegevens zijn gelekt en de aard van de gelekte persoonsgegevens een rol. Bij het lekken van gevoelige gegevens zoals bijzondere persoonsgegevens, financiële gegevens, werk- of schoolprestaties, biometrische gegevens en inloggegevens, zal eerder moeten worden gemeld.

Onder de AVG zal een ander uitgangspunt worden gehanteerd. Ieder datalek verplicht een organisatie tot melding daarvan aan de AP, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Wanneer moet een datalek aan de betrokkene worden gemeld?

Een datalek dat aan de AP moet worden gemeld, hoeft niet altijd ook aan de betrokkene te worden gemeld. Ten aanzien van de meldplicht aan de betrokkene moet een aparte afweging worden gemaakt. Gedachte achter de melding aan de betrokkene is dat deze daardoor alert kan zijn op en zich kan wapenen tegen de mogelijke gevolgen van het datalek.

Onder de Wbp geldt dat een datalek aan de betrokkene moet worden gemeld, als het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Daarvan is sprake als betrokkene door het datalek te maken krijgt met bijvoorbeeld (identiteits)fraude, discriminatie, aantasting in eer en goede naam of een onrechtmatige publicatie.

Onder de AVG zal een datalek aan de betrokkene moeten worden gemeld, als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wat dit criterium concreet inhoudt, zal nog moeten blijken aan de hand van bijvoorbeeld richtsnoeren.

Zowel onder de Wbp als de AVG hoeft geen melding aan de betrokkene te worden gedaan, als passende beschermingsmaatregelen zoals versleuteling zijn getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor derden. Daarnaast hoeft onder de AVG geen melding aan betrokkene te worden gedaan, als achteraf maatregelen zijn genomen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen of als een melding onevenredige inspanningen zou vergen. In het laatste geval volstaat dan bijvoorbeeld ook een openbare mededeling die even doeltreffend is.

Binnen welke termijn moet worden gemeld?

De meldingen aan de AP en eventueel aan de betrokkene, moeten zowel onder de Wbp als de AVG zonder onnodige vertraging en zo mogelijk niet later dan 72 uur worden gedaan na ontdekking van het datalek. Deze termijn geldt ook als een organisatie gebruikmaakt van een bewerker. Ook als een bewerker het datalek ontdekt, is een organisatie uiteindelijk verantwoordelijk voor het tijdig doen van de melding. Een organisatie is dus afhankelijk van snel handelen en efficiënte medewerking van een bewerker.

Overzicht bijhouden van datalekken 

Op grond van de Wbp moeten organisaties een overzicht bijhouden van alle meldingsplichtige datalekken. Onder de AVG zullen organisaties van alle datalekken een overzicht moeten bijhouden, waaronder dus ook de niet-meldingsplichtige.

Onder de Wbp moet het overzicht per datalek in ieder geval de feiten en gegevens omtrent de aard van de inbreuk bevatten. Als het datalek aan de betrokkene is gemeld, moet ook de tekst van de kennisgeving aan de betrokkene in het overzicht worden opgenomen. Onder de AVG moet in het overzicht worden opgenomen wat de feiten en gevolgen van het datalek zijn en wat de genomen corrigerende maatregelen zijn.

Hoe lang de overzichten moeten worden bewaard, is in de Wbp en de AVG niet bepaald. Uit de richtsnoeren van de AP ten aanzien van de Wbp volgt dat van minimaal één jaar moet worden uitgegaan.

Sancties

Bij niet-naleving van de meldplicht datalekken kan de AP een boete opleggen. Onder de Wbp is de hoogte van de basisboete vastgesteld tussen € 120.000,- en € 500.000,-. In uitzonderlijke situaties kan de boete echter oplopen tot maximaal € 820.000,- of 10% van de jaaromzet. Onder de AVG kan de boete oplopen tot € 20.000.000,- of 4% van de wereldwijze jaaromzet. Niet-naleving van de meldplicht datalekken kan een organisatie bovendien flinke imagoschade opleveren.

Wat betekent de meldplicht datalekken voor uw organisatie?

Het voorkomen van een datalek ligt niet altijd binnen uw macht. Door passende beschermingsmaatregelen zoals versleuteling te treffen, kunt u wel voorkomen dat een datalek aan de betrokkene moet worden gemeld. Sectorspecifieke beveiligingsnormen kunnen behulpzaam zijn bij het vaststellen en treffen van de voor uw organisatie passende beschermingsmaatregelen.

Daarnaast vereist de meldplicht datalekken van zowel u als een bewerker adequaat en voortvarend handelen zodra een datalek is ontdekt. Het afsluiten van een bewerkersovereenkomst tussen u en een bewerker met daarin duidelijke afspraken, is daarom verstandig. Ook kan een op uw organisatie toegesneden draaiboek datalekken zeer zinvol zijn. De toename van de hoogte van de boetes bij niet-naleving van de meldplicht datalekken onder de AVG, maakt het belang van duidelijke afspraken met de bewerker en een draaiboek datalekken des te groter.

Verder neemt per 25 mei 2018 het bij te houden overzicht van datalekken in omvang toe. U moet nagaan of een regulier spreadsheet-programma zal volstaan om dit overzicht bij te houden of dat u hiervoor een speciale digitale omgeving inricht of laat inrichten door bijvoorbeeld uw IT-afdeling.

Als u actief bent in de financiële sector of telecomsector, kunnen bovendien afwijkende wettelijke regels op uw organisatie van toepassing zijn.