Wat te doen bij een datalek?

Schrijver

TAG

Datum

19 september 2020

Categorieën

Heeft u al te maken gehad met een datalek? Sinds januari 2016 is het verplicht om bepaalde datalekken te melden en sinds een jaar (vanaf 25 mei 2018) moet u ook alle datalekken intern registreren. Wat is een datalek eigenlijk? Wat moet er gebeuren als sprake is van een datalek en krijgt u een boete bij een datalek? Lees dit blog en u kunt antwoord geven op al deze vragen.

Wat is een datalek precies?
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de Algemene verordening gegevensbescherming (AVG).

De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’. Er zijn drie categorieën datalekken te onderscheiden:

  • Inbreuk op de vertrouwelijkheid: wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
  • Inbreuk op de integriteit: wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
  • Inbreuk op de beschikbaarheid: wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.

Voorbeelden van datalekken zijn:

  • het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
  • een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
  • een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

Moeten alle datalekken worden gemeld bij de Autoriteit Persoonsgegevens?
Nee. Of een datalek gemeld moet worden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Een datalek hoeft alleen gemeld te worden als het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.

Moeten alle datalekken worden gemeld aan de betrokkenen?
Nee. De betrokkenen (de personen van wie u gegevens verwerkt) moeten alleen geïnformeerd te worden als een datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kan aannemelijk gemaakt worden dat dit niet zo is, dan hoeft het datalek niet aan de betrokkenen gemeld te worden.

Let op: het kan zo zijn dat het datalek wel gemeld moet worden bij de Autoriteit Persoonsgegevens. Als dat zo is, dient aangegeven te worden in de melding dat het datalek niet is gemeld aan de betrokkenen.

Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet onder andere gekeken worden of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen, zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.

Krijgt u een boete als u een datalek meldt bij de Autoriteit Persoonsgegevens?
Nee. De Autoriteit Persoonsgegevens kan een boete opleggen als een datalek ten onrechte niet gemeld is bij de Autoriteit Persoonsgegevens. Ook kan de Autoriteit Persoonsgegevens een boete opleggen als ten onrechte een datalek met een hoog risico niet gemeld is aan de betrokkenen.

Zijn er nog meer verplichtingen voor een organisatie inzake datalekken?
Jazeker. Iedere organisatie die verwerkingsverantwoordelijke is, moet volgens de privacywet een datalekregister opstellen. Hierin wordt bijgehouden welke inbreuken er in de organisatie zijn geweest. Het gaat hierbij zowel om de datalekken die de organisatie moet melden, als datalekken die niet gemeld hoeven te worden. Het doel van het datalekregister is dat een organisatie leert van datalekken en maatregelen neemt om de kans op nieuwe datalekken te verminderen. Daarnaast kan een organisatie met een datalekregister aan de Autoriteit Persoonsgegevens laten zien dat ze zich houdt aan de meldplicht datalekken.

Tot slot, is er na besmetting met ransomware altijd sprake van een datalek?
Deze vraag kan niet eenduidig beantwoord worden. Indien ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, dan is sprake van een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd. Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat het datalek bij de Autoriteit Persoonsgegevens gemeld moet worden als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.

In dit Blog zijn wij nader ingegaan op het begrip datalek en de acties die een organisatie moet ondernemen als een datalek geconstateerd is. Raadpleeg uw accountant of adviseur om na te gaan of u voldoende waarborgen heeft getroffen in uw organisatie om datalekken zo veel mogelijk te voorkomen en adequaat te kunnen reageren indien een datalek zich onverhoopt toch voordoet.

Volg ons op LinkedIn en check onze coole site voor vacatures.

www.theauditgeneration.nl

Bron: www.autoriteitpersoonsgegevens.nl

Partner

drs. Mark van Diermen RA

2021-10-13T10:08:32+01:00
Go to Top