Meldplicht datalekken

“Gemeenten besteden miljoenen aan herstellen datalekken”, “Privégegevens bijna 900 Enschedese werkzoekenden op straat na e-mailfout”, “Gegevens tweeduizend AMC-patiënten waren toegankelijk door lek”. Uit deze koppen blijkt dat beveiligingsincidenten regelmatig voorkomen. In sommige gevallen spreken we hierbij van een datalek.
Per 1 januari 2016 is de meldplicht datalekken ingevoerd in de Wet Bescherming Persoonsgegevens (Wbp). Per 25 mei 2018 vervangt de Algemene Verordening Gegevensbescherming (AVG) de Wbp. Met de komst van de AVG blijft de meldplicht datalekken van kracht.
Hieronder wordt nader ingegaan op wat een datalek is, wat het verschil is tussen een beveiliginglek en een datalek, wanneer een organisatie verplicht is om een datalek te melden en wat het verschil is tussen de meldplicht datalekken onder de Wbp en de AVG.

Wat is een datalek?

We spreken van een datalek wanneer persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Een datalek is het gevolg van een beveiligingsprobleem. Het kan hierbij gaan om een IT gerelateerd probleem, falen van de fysieke beveiliging of menselijk handelen. Voorbeelden van een datalek zijn: cyberaanvallen, e-mail naar verkeerde adressen, gestolen laptops, niet zorgvuldig gereinigde computers en laptops en verloren USB-sticks.

Een datalek kan ernstige gevolgen hebben voor een organisatie, denk hierbij aan het incident waarbij er vijf miljoen accountgegevens van Yahoo buit werden gemaakt door hackers. Dit incident heeft de organisatie mogelijk één miljard dollar gekost bij de verkoop van het bedrijf aan Verizon. Een ander voorbeeld is de hack op de website voor ‘vreemdgangers’: ‘Ashley Madison’, waarbij de gegevens van circa 37 miljoen bezoekers op straat kwamen te liggen. Onder de 37 miljoen betrokkenen, waren er 594 Nederlanders. De slachtoffers zijn vervolgens afgeperst en door hun vrouw verlaten. Twee slachtoffers hebben zelfmoord gepleegd nadat hun gegevens openbaar zijn gemaakt door de hackers (bron: RTL nieuws).

Verschil beveiligingsincident en datalek

Ieder datalek is een beveiligingsincident in de zin van de AVG. Bij een datalek moet er sprake zijn van een daadwerkelijk lek van data. Soms is er enkel een tekortkoming in de beveiliging, bijvoorbeeld wanneer de software niet up-to-date is. Dan is er sprake van een beveiligingslek, maar niet van een datalek. Daarnaast dienen er voor een datalek persoonsgegevens verloren te zijn gegaan. Hieronder vallen gegevens die te herleiden zijn naar een persoon.

Melden datalek en de Wet Bescherming Persoonsgegevens

Indien er sprake blijkt te zijn van een datalek, dan dient dit zo spoedig mogelijk, uiterlijk binnen 72 uur, gemeld te worden aan de Autoriteit Persoonsgegevens. Het gaat hierbij om een datalek met een aanzienlijke kans op ernstig nadelige gevolgen voor de bescherming van persoonsgegevens. Indien de kans aannemelijk is dat het lek ook resulteert in nadelige gevolgen voor de betrokkene, dan dient deze ook op de hoogte gesteld te worden. De verwerkingsverantwoordelijke heeft als taak om een overzicht op te stellen maar daarop alle datalekken.

Met de komst van de AVG op 25 mei 2018, zullen er een aantal zaken wijzigen ten aanzien van de huidige meldplicht onder Wbp.

Melden datalek en de Algemene Verordening Gegevensbescherming

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. Ten opzichte van de Wbp gaan er drie dingen veranderen. Zo stelt de AVG strengere eisen met betrekking tot de registratie van datalekken binnen de organisatie. Alle datalekken dienen namelijk vastgelegd te worden. Door middel van deze documentatie kan het AP controleren of er aan de meldplicht is voldaan.

Ten tweede dient de bewerker een datalek te melden aan de verantwoordelijke. En als laatste moet de toezichthouder pas op de hoogte worden gesteld wanneer er is vastgesteld dat er daadwerkelijk een datalek heeft plaatsgevonden. Terwijl er op dit moment een melding dient te worden gedaan op het moment dat niet kan worden uitgesloten dat er een onrechtmatige verwerking van persoonsgegevens kan plaatsvinden.

De toekomst…

Door de toename van de digitalisering wordt de informatiebeveiliging steeds belangrijker. Desondanks kan niet altijd worden voorkomen dat hackers of onbevoegden toegang krijgen tot persoonsgegevens waarover ze niet mogen beschikken. Met de komst van de AVG komen er duidelijke afspraken in de Europese Unie (EU) omtrent het melden van datalekken. De uitkomsten van het onderzoek naar een datalek kan helpen om soortgelijke lekken in de toekomst te voorkomen. Daarom is het belangrijk dat alle organisaties een vermoedelijk datalek onderzoeken en dit lek tijdig melden bij de Autoriteit Persoonsgegevens. Op deze manier kunnen organisaties van elkaar leren en elkaar beter beschermen tegen datalekken in de toekomst.

;