Wat is een datalek en wanneer moet u een datalek melden?
Heeft u weleens te maken gehad met een datalek? Sinds januari 2016 is het verplicht om bepaalde datalekken te melden en vanaf 25 mei 2018 moet u ook alle datalekken intern registreren. Maar wat is een datalek eigenlijk? Wat moet er gebeuren als sprake is van een datalek en krijgt u een boete bij een datalek? Wij geven hieronder antwoord op al deze vragen!
Ga snel naar:
- Wat is een datalek precies?
- Wanneer moet u een datalek melden?
- Krijgt u een boete als u uw datalek meldt?
- Is er na besmetting met ransomware altijd sprake van een datalek?
Heeft u hulp nodig met uw datalek melden? Schakel The Audit Generation in! Wij helpen u graag.
Wat is een datalek precies?
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen of lekken van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van persoonsgegevens.
Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de Algemene verordening gegevensbescherming (AVG).
De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de AVG het over een ‘inbreuk in verband met persoonsgegevens’. Er zijn drie categorieën datalekken te onderscheiden:
- Inbreuk op de vertrouwelijkheid: wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
- Inbreuk op de integriteit: wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
- Inbreuk op de beschikbaarheid: wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.
Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
Voorbeelden van datalekken zijn:
- Het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
- een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
- een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.
Wanneer moet u een datalek melden?
Of u een datalek moet melden, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Een datalek hoeft alleen gemeld te worden als het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen.
Het datalek moet alleen gemeld worden aan de betrokkenen (de personen van wie u gegevens verwerkt) als het waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kan aannemelijk gemaakt worden dat dit niet zo is, dan hoeft het datalek niet aan de betrokkenen gemeld te worden.
Let op: het kan zo zijn dat het datalek wel gemeld moet worden bij de Autoriteit Persoonsgegevens. Als dat zo is, dient aangegeven te worden in de melding dat het datalek niet is gemeld aan de betrokkenen.
Om te bepalen of een datalek een hoog risico oplevert voor de betrokkenen, moet onder andere gekeken worden of het datalek kan leiden tot fysieke, materiële of immateriële schade voor de betrokkenen, zoals: discriminatie, (identiteits-)fraude, financiële schade en reputatieschade.
Krijgt u een boete als u uw datalek meldt?
Nee. De Autoriteit Persoonsgegevens kan een boete opleggen als een datalek ten onrechte niet gemeld is bij de Autoriteit Persoonsgegevens. Ook kan de Autoriteit Persoonsgegevens een boete opleggen als ten onrechte een datalek met een hoog risico niet gemeld is aan de betrokkenen. Meld je datalek dus altijd!
Ook moet iedere organisatie die verwerkingsverantwoordelijk is, volgens de privacywet een datalekregister opstellen. Hierin wordt bijgehouden welke inbreuken er in de organisatie zijn geweest. Het gaat hierbij zowel om de datalekken die de organisatie moet melden, als datalekken die niet gemeld hoeven te worden. Het doel van het datalekregister is dat een organisatie leert van datalekken en maatregelen neemt om de kans op nieuwe datalekken te verminderen. Daarnaast kan een organisatie met een datalekregister aan de Autoriteit Persoonsgegevens laten zien dat ze zich houdt aan de meldplicht datalekken.
Is er na besmetting met ransomware altijd sprake van een datalek?
Deze vraag kan niet eenduidig beantwoord worden. Indien ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is er sprake van een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. De verwerkingsverantwoordelijke kan er bij ransomware niet vanuit gaan dat de inbreuk beperkt is gebleven tot het zichtbaar besmette bestand of systeem. De besmetting kan het hele systeem en alle gekoppelde bestanden raken. Er kan dus toegang zijn verkregen tot veel meer persoonsgegevens.
Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd. Bij inbreuken op de beveiliging waarbij ransomware is aangetroffen, gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak. Dit houdt in dat het datalek bij de Autoriteit Persoonsgegevens gemeld moet worden als het datalek waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen.
Wilt u zeker zijn van uw zaak? Schakel The Audit Generation in!
Heeft u last van een datalek? Raadpleeg uw accountant of adviseur om na te gaan of u voldoende waarborgen heeft getroffen in uw organisatie om datalekken zo veel mogelijk te voorkomen en adequaat te kunnen reageren. Bij The Audit Generation