News Update Privacy & Data Protection

Sinds 2016 kennen we in Nederland al de verplichting om 'datalekken' te melden waarbij persoonsgegevens in het spel zijn. Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) geldt een dergelijke verplichting in de hele EU. Toch zijn er nog altijd onduidelijkheden over wat de regels nu precies inhouden. Zo heeft de Autoriteit Persoonsgegevens onlangs aangegeven veel vragen te krijgen over datalekken. Reden genoeg om de verplichtingen voor organisaties nog eens op een rijtje te zetten.

AVG en datalekken

De AVG kent de term 'datalek' niet, maar spreekt over een 'inbreuk in verband met persoonsgegevens'. Die term is gedefinieerd en betekent: 

Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Als er geen persoonsgegevens worden verwerkt, is de AVG niet van toepassing. De AVG kan ook om een andere reden niet van toepassing zijn, bijvoorbeeld omdat sprake is van een uitgezonderde activiteit. Hierna nemen we voor het gemak aan dat de AVG van toepassing is, en spreken we van 'datalek' als we een 'inbreuk in verband met persoonsgegevens' bedoelen. Enkele voorbeelden van datalekken zijn verkeerd verzonden e-mails met daarin persoonsgegevens, een database die gehackt wordt en papieren dossiers die gestolen worden uit een geordende archiefkast.

Het ontdekken van een datalek

Het moment waarop een organisatie een datalek ontdekt, is belangrijk. Vanaf dat moment kan het namelijk nodig zijn het incident te melden. Het is belangrijk dat een organisatie vaststelt in welke hoedanigheid zij de getroffen persoonsgegevens verwerkt. Handelt een organisatie als verwerkingsverantwoordelijke, dan kunnen er wettelijke meldplichten van toepassing zijn (zie hierna). Handelt de organisatie echter als verwerker (dus namens een andere organisatie), dan hoeft die organisatie een datalek niet te melden aan een toezichthouder of aan betrokkenen. Wel geldt voor een verwerker de verplichting om de verwerkingsverantwoordelijke op de hoogte te brengen van het datalek, zodat die laatste zijn wettelijke verplichtingen kan nakomen. Ook moet in een verwerkersovereenkomst iets geregeld zijn over de assistentie die de verwerker levert, waar mogelijk, bij de wettelijke verplichtingen die de verwerkingsverantwoordelijke heeft.

Datalekken melden aan de toezichthouder

Een verwerkingsverantwoordelijke is wettelijk verplicht om datalekken zonder onredelijke vertraging en waar mogelijk binnen 72 uur na ontdekking, te melden aan de toezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP). Melden bij de AP gebeurt via het Meldloket datalekken. Een datalek hoeft niet te worden gemeld als het niet waarschijnlijk is dat het een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Of daarvan al dan niet sprake is, hangt af van de feitelijke situatie. Er kunnen allerlei omstandigheden zijn die het risico verlagen of zelfs geheel wegnemen, terwijl naar de letter van de wet toch sprake is van een datalek. De melding wordt door de AP niet openbaargemaakt.

Datalekken melden aan betrokkenen

In sommige gevallen moet er ook worden gemeld aan de betrokkenen van wie er persoonsgegevens getroffen zijn door het datalek. De vereisten hiervoor zijn hoger dan voor een melding aan de toezichthouder: een hoog risico voor de rechten en vrijheden van natuurlijke personen moet waarschijnlijk zijn. 

Er gelden enkele belangrijke uitzonderingen op de meldplicht aan betrokkenen. Melden hoeft niet als:

• De verwerkingsverantwoordelijke een 'financiële onderneming' is in de zin van de Wet op het financieel toezicht (Wft).
• De gegevens in kwestie adequaat zijn beschermd zodat een derde er geen kennis van kan nemen, bijvoorbeeld door versleuteling.
• Er achteraf maatregelen zijn genomen om het waarschijnlijk hoge risico te beperken (denk aan remote wiping).
• Het individueel melden een onevenredige inspanning zou vergen.
• Er specifieke belangen aan de orde zijn die het rechtvaardigen dat een melding achterwege blijft, zoals in verband met het innen van een civielrechtelijke vordering, het opsporen van strafbare feiten of de bescherming van de betrokkene of rechten en vrijheden van anderen.

Alle datalekken documenteren

Een verwerkingsverantwoordelijke moet alle datalekken die hij heeft vastgesteld documenteren. Dat geldt dus ook voor datalekken die niet worden gemeld!

Sancties

Het niet melden van een datalek waar dit wel vereist is (of het te laat melden), kan een bestuurlijke boete of andere maatregel van de toezichthouder tot gevolg hebben. De AP heeft een aantal keer boetes opgelegd enkel voor het niet of te laat melden van een datalek. Een voorbeeld daarvan betreft de boete aan PVV Overijssel.

Let ook op overige meldplichten

Naast een meldplicht op grond van de AVG, kunnen organisaties onderworpen zijn aan andere meldplichten. Eenzelfde beveiligingsincident zou dus op verschillende gronden gemeld kunnen worden aan meerdere meldpunten: 

• Op grond van de NIB-richtlijn (2016/1148) en de Nederlandse implementatie daarvan geldt er een verplichting voor vitale aanbieders en digitaledienstverleners om beveiligingsincidenten te melden (niet noodzakelijkerwijs beperkt tot incidenten met persoonsgegevens). Vitale aanbieders zijn aangewezen in een apart besluit. Digitale diensten onder dit regime zijn onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten.
• Er gelden op grond van de Telecommunicatiewet meldplichten voor aanbieders van openbare elektronische communicatiediensten- en netwerken die deels zien op persoonsgegevens.
• Andere meldplichten kunnen gelden op grond van sector-specifieke wetgeving, zoals de meldplicht om 'incidenten' te melden op grond van de Wft en andere financieelrechtelijke wetgeving. Een ernstig datalek kan zo'n 'incident' zijn.
  
  

Vragen? Contacteer Jurre Reus of Thomas de Weerd van het Data Protection & Privacy-team.