Meldplicht van datalekken binnen de AVG
Een datalek kan grote gevolgen hebben voor betrokkenen. De AVG geeft een aantal regels voor de meldplicht hiervan. In dit artikel ga ik in op de mogelijke meldplicht aan de Autoriteit Persoonsgegevens en aan de betrokkene. Hierbij ga ik nader in op de richtlijn zoals door de WP29 is opgesteld.
Inbreuk in verband met persoonsgegevens
Evenals de Wet bescherming persoonsgegevens (Wbp) kent ook de Algemene Verordening Gegevensbescherming (AVG) een meldplicht bij datalekken. De AVG spreekt in dit kader van een “inbreuk in verband met persoonsgegevens”. In twee specifieke artikelen is hiervoor een meldplicht opgenomen: art. 33 AVG geeft regels voor de melding aan de Autoriteit Persoonsgegevens (AP), art. 34 AVG geeft regels voor de melding aan de betrokkene. Art. 42 UAVG geeft een uitzondering op art. 34 AVG voor bepaalde financiële ondernemingen.
Een datalek kan grote gevolgen hebben voor betrokkenen. Overweging 85 van de AVG meldt hierover dat een inbreuk in verband met persoonsgegevens kan resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Het is dus zaak dat een datalek tijdig en op een passende wijze wordt aangepakt
In beginsel moet ieder inbreuk in verband met persoonsgegevens (verder genoemd als datalek) aan de AP worden gemeld. Alleen die datalekken waarbij het zeer onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen zijn uitgezonderd van de meldplicht. De werkgroep Gegevensbescherming Artikel 29 (Data Protection Working Party; WP29), heeft rond dit thema een richtlijn gepubliceerd die is aangenomen op 3 oktober 2017: “Guidelines on Personal data breach notification under Regulation 2016/679”.
Datalek
Art. 4 geeft onder punt 12 geeft een definitie voor een inbreuk in verband met persoonsgegevens ofwel een datalek: ”een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Deze definitie wordt door de WP29 werkgroep gevolgd waarbij er drie soorten van inbreuken worden onderscheiden:
- Confidentiality breach
- Availability breach
- Integrity breach
Hierbij is het opvallend dat de WP29 werkgroep een grotere reikwijdte toekent aan het begrip “availability breach”. Hieronder valt onder meer de tijdelijke onbeschikbaarheid van data door bijvoorbeeld een stroomstoring.
“A loss of availability may also occur where there has been significant disruption to be normal service of an organisation, for example, experiencing a power failure or denial of service attack, rendering personal data unavailable, either permanently of temporarily”
melding aan de Autoriteit Persoonsgegevens
Zoals gezegd dien je in beginsel iedere datalek te melden bij de AP tenzij het onwaarschijnlijk is dat deze inbreuk een risico inhoudt. Hierbij dient er dus een eigen beoordeling te worden gemaakt. Bij deze beoordeling dient tevens te worden bepaald of de betrokkene niet “onverwijld” geïnformeerd moet worden. De WP29 kennen de AP hierin een adviserende rol toe. De AP kan een organisatie die een datalek meldt adviseren over het informeren van de betrokkenen. Hierbij dient te worden opgemerkt dat de meldende partij wel zelf verantwoordelijk blijft voor het al dan niet melden aan de betrokkenen. Afhankelijk van de aard van het datalek dient de betrokkene al direct te wordt geïnformeerd.
In de richtlijn van de WP29 zijn er een aantal situaties/ voorbeelden opgenomen waarmee rekening gehouden moet worden bij de beoordeling, of het melding aan de AP vereist is. Omdat deze situaties vrij algemeen worden geschetst dien je als organisaties steeds weer een goede afweging te maken. Art. 33 AVG bepaalt dat een melding aan de AP in beginsel uiterlijk binnen 72 uur moet plaatsvinden. Deze termijn loopt vanaf het moment dat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek. De WP29 vult hierop aan dat het moet gaan om “a reasonable degree of certainty that a security incident has occurred that has led to personal data being compromised”. Om dit te kunnen vaststellen wordt er wat onderzoeksruimte aan de verwerkingsverantwoordelijke geboden: “(…) the controller may undertake a short period of investigation in order to establish whether or not a breach has in fact occurred”.
Wanneer er een verwerker in het spel is dient deze op grond van art. 33 lid 2 AVG de verwerkingsverantwoordelijke “zonder onredelijke vertraging” te informeren. De afweging voor het wel of niet melden aan de AP ligt ook hier bij de verwerkingsverantwoordelijke. De WP29 ziet de verwerker als een verlengstuk van de verwerkingsverantwoordelijke hetgeen betekent dat de termijn van 72 uur al aanvangt op het moment dat de verwerker kennis heeft genomen van het datalek.
Melding aan betrokkenen
Wanneer de inbreuk van het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, “deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee”, zo stelt art. 34 AVG. De drempel voor het melden van een datalek aan betrokkenen ligt hiermee hoger dan de melding aan de AP.
Art. 34 lid 3 noemt drie uitzonderingen waarbij de melding aan betrokkenen niet is vereist, namelijk:
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
Vastlegging en de verwerkingsovereenkomst
Als verwerkingsverantwoordelijke dien je een documentatie te voeren van alle datalekken die zich hebben voorgedaan, met inbegrip van de feiten daaromtrent, de gevolgen daarvan en de corrigerende maatregelen die zijn genomen. Die documentatie stelt de AP instaat de naleving van deze regelgeving te controleren. Wanneer je als verwerkingsverantwoordelijke een verwerker hebt ingeschakeld dient er binnen een verwerkingsovereenkomst te worden overeengekomen dat de verwerker de verwerkingsverantwoordelijke bijstaat bij het nakomen van zijn verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken.