Meldplicht datalekken

3 mei 2018

Ina Brouwer

Privacyrecht

Datalekken

Deze week gaan wij in op de meldplicht van organisaties bij datalekken. De meldingen moeten worden gedaan bij de Autoriteit Persoonsgegevens (AP) en in sommige gevallen ook bij betrokkenen, personen van wie de data zijn gelekt. Datalekken kunnen grote gevolgen hebben voor burgers, zoals het verliezen van controle over persoonsgegevens, identiteitsdiefstal, financiële verliezen of: manipulatie. Het inmiddels beruchte Facebook datalek-schandaal heeft ertoe geleid dat door het bedrijf Cambridge Analytica honderdduizenden kiezersprofielen zijn gemaakt die tijdens de verkiezingscampagne in de VS werden misbruikt om kiezers te beïnvloeden.

Wat is een datalek?

Een datalek is een ongewenst verlies van persoonsgegevens. Hier kunnen verschillende oorzaken voor zijn, zoals een fout/vergissing van medewerker(s) of een digitale aanval van buiten. Een gestolen werklaptop met persoonsgegevens of een mailaccount dat is gehackt zijn voorbeelden van datalekken. Onder de AVG moet in beginsel ieder datalek worden gemeld bij de AP. Uitzonderingen op de regel komen nauwelijks voor. Advies is dus om de AP hoe dan ook in te schakelen. Ook moeten gedupeerden op de hoogte worden gesteld van een datalek, zeker wanneer dit een hoog risico voor hen inhoudt. Alle datalekken moeten worden bijgehouden in een register. Verstandig is om bij ieder datalek ook de genomen maatregelen te vermelden, zodat in een eventueel latere procedure de juridische positie van de organisatie kan worden versterkt met bewijsmateriaal.

Meldplicht datalekkenMeldplicht datalekken

Wanneer er een datalek heeft plaatsgevonden is de verantwoordelijke organisatie verplicht om binnen 72 uur na constatering hiervan een melding te doen bij de AP. Deze melding moet informatie bevatten over onder andere:

  • de aard en de omvang van het lek (gaat het om een hack of een gestolen harde schijf en hoe groot is het lek?);
  • soorten gegevens (bijvoorbeeld een foto of NAW-gegevens), categorieën van betrokkenen en de hoeveelheid betrokkenen (ongeveer);
  • contactgegevens van de functionaris voor de gegevensbescherming (indien aangewezen) of een (andere) contactpersoon bij wie meer informatie over het lek kan worden verkregen;
  • de mogelijke gevolgen van het lek;
  • en de maatregelen die zijn/zullen worden genomen om het lek aan te pakken, waaronder de maatregelen ter voorkoming van nadelige gevolgen voor betrokkenen. Denk hierbij aan encryptie van de gegevens of een onderzoek naar de mogelijke oorzaken.

Op de website van de AP is een meldloket datalekken te vinden. Via dit loket kan met behulp van een handig online-formulier een datalek worden gemeld bij de AP.

Schending meldplicht

De schending van de meldplicht kan leiden tot aansprakelijkheid van de organisatie. De verantwoordelijke loopt dan het risico te worden gedagvaard voor de civiele rechter, waarbij de betrokkene die schade heeft geleden ten gevolge van de schending schadevergoeding kan eisen. De schade kan zowel materieel als immaterieel van aard zijn. Denk hierbij aan schade in de vorm van aantasting in eer en goede naam, een onrechtmatige publicatie of de eerder aangehaalde identiteitsfraude.

Klik voor de volgende blogs: