Data

Wat is nu eigenlijk een datalek?

In dit artikel ga ik terug naar de wet bescherming persoonsgegevens. Ik sta ik in het bijzonder stil bij het “datalek”. Sinds 1 januari 2016 geldt de meldplicht datalekken. Ondanks dat deze meldplicht nu een jaar van kracht is, bemerk ik in de praktijk dat er nog steeds onduidelijkheid is bij het begrip “datalek”.

In een eerder blog schreef ik over de algemene verordening gegevensbescherming. Op 4 mei 2016 is de algemene verordening gegevensbescherming (AVG) gepubliceerd in het Publicatieblad van de Europese Unie. Deze verordening geldt vanaf 25 mei 2016. Organisaties in de publieke en private sector worden geacht om vanaf die datum hun bedrijfsvoering met de AVG in overeenstemming te brengen. Ze krijgen daarvoor tot 25 mei 2018 de tijd. Er geldt vanaf 25 mei 2018 op deze manier nog maar één privacywet in de hele EU. Vanaf deze datum hebben organisaties die persoonsgegevens verwerken meer verplichtingen dan nu het geval is.

Nog even terug naar 1 januari 2016

Vanaf 1 januari 2016 werd het wettelijk verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Deze meldplicht houdt in dat organisaties onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. In een aantal gevallen moeten zij het datalek ook melden aan de mensen van wie de persoonsgegevens zijn gelekt.

Een datalek moet op grond van art. 34a, eerste lid, Wbp, worden gemeld aan de AP wanneer dit leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het datalek moet daarnaast ook worden gemeld aan de mensen van wie de persoonsgegevens zijn gelekt (de betrokkene) indien het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Dit op grond van art. 34a, tweede lid, Wbp.

De meldplicht datalekken richt zich tot de verantwoordelijke voor de verwerking van persoonsgegevens. De verantwoordelijke is, op grond van art. 1 Wbp, degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Wanneer zijn gegevens, persoonsgegevens?

Een “persoonsgegeven” is op grond van art. 1Wbp, elk gegeven betreffende een geïdentificeerde of identificeerbare persoon. Een persoon is identificeerbaar indien zijn identiteit redelijkerwijs, en zonder onevenredige inspanning, vastgesteld kan worden. Er wordt onderscheid gemaakt in direct en indirect identificerende gegevens. Direct identificerende gegevens zijn gegevens die betrekking hebben op een persoon waarvan de identiteit zonder veel omwegen eenduidig is vast te stellen, zoals een naam, eventueel in combinatie met het adres en de geboortedatum. Van indirect identificerende gegevens is sprake wanneer gegevens via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon.

Wat is nu eigenlijk een datalek?

Om te beginnen: niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of wanneer je onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. De Wbp spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten.

Verloren raken houdt in dat je de persoonsgegevens niet meer hebt. Bij het beveiligingsincident zijn de persoonsgegevens vernietigd of op een andere manier verloren gegaan, en je beschikt niet over een complete en actuele reservekopie van de gegevens. In deze situatie is er sprake van een datalek.

Onder onrechtmatige verwerking vallen de aantasting van de persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. Als je redelijkerwijs niet kunt uitsluiten dat een inbreuk op de beveiliging tot een onrechtmatige verwerking heeft geleid, dan dien je de inbreuk te beschouwen als een datalek

Kenmerkend voor een inbreuk op de beveiliging is dat het beveiligingsincident daadwerkelijk gevolgen heeft voor de persoonsgegevens die je verwerkt. Er zijn persoonsgegevens verloren gegaan, of je kunt niet redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt. Een inbreuk op de beveiliging van persoonsgegevens moet ruim worden geduid. Het is hierbij niet van belang of je passende technische of organisatorische maatregelen hebt getroffen of niet.

Moet iedere datalek nu worden gemeld aan de AP?

Niet elk datalek moet worden gemeld. Er is op grond van art. 34a lid 1 Wbp sprake van een geclausuleerde meldplicht voor datalekken. Dat wil zeggen dat je een inbreuk alleen hoeft te melden als deze leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Bij het beantwoorden van de vraag of er sprake is van een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens, moet er in elk geval worden gekeken naar de aard van de getroffen gegevens. Is er sprake van bijzondere persoonsgegevens ex art. 16 Wbp, of van persoonsgegevens die anderszins van gevoelige aard zijn? In een aantal gevallen dient een datalek ook te worden gemeld aan de betrokkene. Dit in de situatie dat het datalek waarschijnlijk ongunstige gevolgen kan hebben voor de persoonlijke levenssfeer van de betrokkene.

Administratie voeren over het datalek

Wanneer je een datalek aan de AP meldt, dien je hiervan een overzicht als administratie te bewaren. Dit overzicht moet per melding de feiten en gegevens van het lek bevatten. Denk hierbij bijvoorbeeld aan de oorzaak van het datalek, de soort gegevens die zijn gelekt, het moment dat het datalek is ontdekt en op welke wijze het datalek gedicht is. De wet schrijft niet voor hoe lang je het overzicht moet bewaren. Ga uit van een bewaartermijn van minimaal een jaar. In bepaalde gevallen kan het nodig zijn om een langere bewaartermijn te hanteren.

Alvast een kort uitstapje naar de AVG

Ook de AVG kent een meldplicht voor datalekken. In art. 33 en 34 AVG worden er regels gesteld omtrent het melden van een inbreuk in verband met persoonsgegevens. 

Art. 4 AVG geeft de volgende definitie van een datalek oftewel een “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

De verantwoordelijke is binnen de AVG, net als onder de huidige Wbp, verplicht om verzamelde persoonsgegevens adequaat te beveiligen. Indien er desondanks persoonsgegevens lekken, is de verantwoordelijke verplicht om dit in beginsel binnen 72 uur aan de toezichthouder en eventueel aan de betrokkene te melden. Dit tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Art. 33 lid 5 AVG stelt verder dat “alle inbreuken” moeten worden geadministreerd, dus ook diegene die niet meldingsplichtig zijn. Art. 33 lid 2 AVG bepaalt verder dat bewerkers (onder de AVG “de verwerkers”) de verantwoordelijke moeten informeren over inbreuken in verband met persoonsgegevens. Het lijk ook hier om alle soorten inbreuken te gaan. Op grond van de AVG kan de AP bij het ontbreken van een bewerkersovereenkomst, in aanvulling op de last onder dwangsom, ook een boete opleggen. 

De AVG stelt dat een adequate beveiliging van verzamelde persoonsgegevens onder meer wordt gerealiseerd door middel van Privacy by Design and Default. Dit brengt de verantwoordelijkheid met zich mee om al bij de ontwikkeling van nieuwe producten of diensten, waarbij er persoonsgegevens worden verwerkt, privacy-verhogende maatregelen te voorzien in het ontwerp. Tevens moeten de meest privacy-vriendelijke instellingen als standaard worden ingesteld.

Wees voorbereid!

In het geval van een datalek moet er snel worden gehandeld. Het is dus aan te raden om je hierop voor te bereiden. Hiervoor kun je een procedure opstellen waaruit blijkt welke functionarissen betrokken moeten worden indien een datalek wordt geconstateerd. Denk hierbij aan het bestuur of de directie, de eigenaar van de gegevens, de ICT afdeling, de functionaris gegevensbescherming, de juridische afdeling, de afdeling communicatie, etc. In de procedure dient in elk geval te worden bepaald aan wie het datalek intern moet wordt gemeld, welke maatregelen erdoor wie binnen welke termijnen moeten worden genomen en hoe het datalek naar externe wordt gecommuniceerd. Hiervoor wordt er bijvoorkeur op voorhand een communicatieplan opgesteld. 

Last but not least:: stel bewerkersovereenkomsten op met bewerkers. Neem als bewerker overigens ook zelf het initiatief hiertoe. Neem hierin de verplichting op dat de bewerker onverwijld een melding aan de organisatie moet doen als er bij hem een datalek heeft plaatsgevonden. Maak ook duidelijk welke datalekken gemeld moeten worden. Dit zijn bij voorkeur alle beveiligingsincidenten en niet alleen de meldingsplichtige incidenten. Zorg er nu al voor dat de bewerkersovereenkomst in overeenstemming is met de AVG.