Geregeld komt er in het nieuws voorbij dat er sprake is geweest van een groot datalek waarbij persoonlijke gegevens zoals bankrekeningnummers of wachtwoorden zijn buit gemaakt. Het afgelopen jaar zijn er bijvoorbeeld al bij Booking.com, de GGD, Allekabels.nl, de Blokker, Heijmans en PVV Overijsel datalekken geweest. Indien een bedrijf of overheidsinstantie erachter komt dat sprake is van een datalek is het van belang dat zij adequaat handelen. Doen zij dit niet dan bestaat de kans dat zij een hoge boete opgelegd krijgen van de Autoriteit Persoonsgegevens (AP).
Boete Booking.com
Dat het nalaten adequaat te handelen bij een datalek kan leiden tot een hoge boete werd eind vorig jaar en begin dit jaar duidelijk. Zo legde de AP eind vorig jaar Booking.com een boete op van maar liefst €475.000. Ook de PVV Overijssel kreeg recent een boete opgelegd van €7.500. Beiden wegens het te laat melden van een datalek. Booking.com was er op 13 januari 2019 achter gekomen dat sprake was van een datalek, maar heeft dit pas op 7 februari 2019 gemeld bij de AP. De melding werd hierdoor 22 dagen te laat ingediend. De PVV Overijssel had helemaal geen melding gemaakt van het datalek bij AP. De AP kwam achter de schending van de meldplicht nadat zij een klacht hadden ontvangen.
Wettelijke verplichtingen datalek
Het begrip ‘datalek’ komt niet voor in de AVG (Algemene verordening gegevensbescherming). In de AVG wordt namelijk het begrip ‘inbreuk in verband met persoonsgegevens’ gehanteerd. Van een inbreuk in verband met persoonsgegevens is op grond van de AVG sprake indien “bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.”
In de AVG staat dat bedrijven en overheidsinstanties (de verwerkingsverantwoordelijke) een meldplicht hebben ten aanzien van datalekken. Of een datalek gemeld dient te worden bij de AP is afhankelijk van de waarschijnlijkheid en de mogelijke ernst van het datalek. De verwerkingsverantwoordelijke dienen deze inschatting zelf te maken. Indien een datalek gemeld dient te worden dient dit uiterlijk binnen 72 uur na ontdekking van het datalek te gebeuren. De AP kan een boete opleggen indien dit niet of niet tijdig gebeurd, zoals bij Booking.com en de PVV Overijssel.
Indien vanwege het datalek sprake is van een hoog risico voor de rechten en vrijheden van betrokkenen is het van belang dat de betrokkenen worden geïnformeerd. Deze betrokkenen kunnen dan de nodige voorzorgsmaatregelen nemen zoals het wijzigen van wachtwoorden. Van een hoog risico is sprake indien het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokkenen. Hiervan is bijvoorbeeld sprake wanneer belangrijke medische gegevens zijn gewist waardoor er de kans bestaat dat iemand niet de benodigde zorg krijgt. Of wanneer bijvoorbeeld de kans bestaat dat iemand via internet bestellingen kan plaatsen op kosten van een ander. Voor meer informatie over de beoordeling van een datalek verwijzen wij u naar de site van de Autoriteit Persoonsgegevens.
Tot slot is het van belang dat een datalek weliswaar niet altijd hoeft te worden gemeld bij AP, maar dat neemt niet weg dat de verwerkingsverantwoordelijke wel gehouden is een interne registratie te maken van het datalek. Het datalek dient dan geregistreerd te worden in het interne datalekregister. Iedere verwerkingsverantwoordelijke behoort op grond van de AVG zo’n datelekregister op te stellen. In dit register dienen alle datalekken binnen de organisatie te worden bijgehouden.
Melding maken
Het melden van een datalek kan gedaan worden bij het ‘Meldloket datalekken’ van de AP. Recentelijk heeft de AP het meldformulier voor datalekken vernieuwd.
Vragen?
Heeft u te maken met een datalek, heeft u hulp nodig bij het maken van een melding of heeft u andere privacy rechtelijke vragen, neem dan gerust contact op met één van onze advocaten van het Team IE, IT & Privacy.
Neem contact op