Wat is een datalek?
Op internet zijn uiteenlopende definities te vinden. Dat komt omdat de Algemene verordening gegevensbescherming (hierna: ‘AVG’) de term ‘datalek’ als zodanig niet kent. De AVG spreekt in plaats daarvan over ‘een inbreuk in verband met persoonsgegevens’. Volgens de AVG is een inbreuk in verband met persoonsgegevens:
“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”
Een brede definitie dus. Afhankelijk van de context is er bijvoorbeeld sprake van een datalek als persoonsgegevens per ongeluk of onrechtmatig:
- vernietigd zijn (bijvoorbeeld brand in een datacenter);
- verloren zijn gegaan (bijvoorbeeld USB-stick met persoonsgegevens verloren); of
- toegankelijk (kunnen) zijn voor onbevoegden (bijvoorbeeld hacker heeft persoonsgegevens buitgemaakt).
Stappenplan datalek
1 - Zijn er (mogelijk) persoonsgegevens betrokken?
Vanaf het moment dat je op de hoogte wordt gesteld van een beveiligings-of cyberincident, zoals een DDos-aanval of hack van de website, is het van belang dat je de situatie bestudeert. Stel de feiten en omstandigheden vast en verkrijg een beeld van wat er is gebeurd. Deze informatie is ook cruciaal voor de vervolgstappen.
Een beveiligings- of cyberincident betekent niet altijd dat er ook sprake is van een datalek. Pas als er bij het incident persoonsgegevens betrokken zijn, is er in juridische zin sprake van een ‘inbreuk in verband met persoonsgegevens’ en dus een datalek. Incidenten waarbij (enkel) andere gegevens verloren zijn geraakt, bijvoorbeeld bedrijfsinformatie, zijn geen datalekken. Deze incidenten vallen buiten het toepassingsbereik van de AVG en hoeven niet op grond van de AVG gemeld te worden. Voor de volledigheid: het is mogelijk dat dergelijke incidenten wel op grond van andere wetgeving gemeld moeten worden. Er bestaat namelijk ook een meldplicht voor cyberincidenten.
2 – Handel zo spoedig mogelijk bij een datalek
Zodra je hebt vastgesteld dat er sprake is van een datalek in de zin van de AVG, dient zo spoedig mogelijk te worden vastgesteld of er melding van dit datalek gemaakt moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkenen. De maximale termijn voor deze melding is 72 uur nadat het datalek is vastgesteld. Voor die melding is vereist dat de aard, oorzaak en omvang van het datalek vastgesteld zijn, en de gevolgen in kaart zijn gebracht. Daarom moeten alle zeilen bijgezet worden.
Afhankelijk van de aard en omvang van het datalek kan het noodzakelijk zijn een (multidisciplinair) actieteam te vormen en de taken over de teamleden te verdelen. Zo zorg je ervoor dat de juiste mensen ook met de juiste dingen bezig zijn. In dat team zijn bij voorkeur mensen uit uiteenlopende disciplines vertegenwoordigd. Denk daarbij aan de directie, de ICT-afdeling, de juridische afdeling en de facilitaire dienst. Maak een duidelijke taakverdeling, en houd de lijnen kort.
De AVG verplicht bedrijven en organisaties om een logboek bij te houden met alle gebeurtenissen en genomen acties van begin tot eind. Wees daarin zeer secuur. Vermeld bijvoorbeeld ook tijdstippen bij acties en gebeurtenissen. Leg in het logboek ook alle data en eventuele bewijsmiddelen vast.
3 – Probeer het datalek te verhelpen
Naast de handelingen die op grond van de AVG verricht moeten worden, dient uiteraard het datalek zo spoedig mogelijk verholpen te worden. Schakel daarbij de betrokken IT-leveranciers in en verzoek hen om hun volledige medewerking. De IT-leverancier kan niet alleen het datalek verhelpen, maar kan ook de oorzaak van het datalek onderzoeken en helpen bij het nemen van andere maatregelen om schade en nadelige gevolgen voor betrokkenen te beperken.
3A – Beoordeel of je het datalek moet melden bij de Autoriteit Persoonsgegevens
Tegelijk met het dichten van het lek, zal je moeten beoordelen of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens. Het uitgangspunt is: melden, tenzij het onwaarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Dit betekent dat je een risicoafweging zal moeten maken: in hoeverre is het waarschijnlijk dat het datalek impact heeft op de privacy van de betrokkene(n)? In de praktijk zal er snel sprake zijn van een datalek dat (tenminste) gemeld moet worden bij de Autoriteit Persoonsgegevens.
Let op: Ook indien je van oordeel bent dat het datalek niet bij de Autoriteit Persoonsgegevens gemeld hoeft te worden, registreer je het datalek wel in het (wettelijk verplichte) interne datalekkenregister.
3B – Beoordeel of je het datalek moet melden bij de betrokkene(n)
Indien het datalek bij de Autoriteit Persoonsgegevens gemeld moet worden, moet tevens bepaald worden of ook de betrokkene(n) geïnformeerd moeten worden. De betrokkene(n) informeer je alleen als het datalek een hoog risico vormt voor de privacy van de betrokkene(n). Bij het bepalen van de hoogte van het risico kijk je objectief naar de mate van waarschijnlijkheid dat het risico zich verwezenlijkt en wat de impact van het intreden van het risico voor de betrokkene(n) zal zijn.
Is het waarschijnlijk dat het datalek zal leiden tot bijvoorbeeld discriminatie, (identiteits)fraude financiële schade, of openbaarmaking van gegevens die een professional, zoals een arts, geheim had moeten houden? Zijn er bijvoorbeeld creditcardgegevens buitgemaakt, of is sprake van bijzondere persoonsgegevens zoals medische gegevens? Dan is snel sprake van een hoog risico en moet(en) de betrokkene(n) dus over het datalek worden geïnformeerd.
4 – Inhoud van de melding aan de Autoriteit Persoonsgegevens en aan de betrokkenen
De melding van het datalek aan de Autoriteit Persoonsgegevens gaat via het meldloket datalekken op de website van de Autoriteit Persoonsgegevens.
Deze melding bevat in ieder geval de volgende informatie:
- Een beschrijving van het datalek;
- Naam en contactgegevens van een contactpersoon (indien aanwezig, is dit de Functionaris Gegevensbescherming);
- Welke categorieën betrokkenen betrokken zijn bij het datalek (kinderen, klanten, werknemers etc.);
- Welke categorieën persoonsgegevensregisters betrokken zijn bij het datalek (gezondheid, onderwijs, financiële gegevens etc.);
- De waarschijnlijke gevolgen van het datalek;
- De voorgestelde of genomen maatregelen om het datalek te verhelpen of de gevolgen daarvan te beperken.
De melding aan de betrokkenen doe je in beginsel rechtstreeks. Dit kan vaak het makkelijkst via een e-mail of per brief. Het belangrijkste doel van het melden aan de betrokkenen, is dat zij zelf voorzorgsmaatregelen kunnen nemen om de mogelijke negatieve gevolgen zoveel mogelijk te beperken. Geef de betrokkenen daarvoor ook praktische tips, bijvoorbeeld (afhankelijk van de situatie) het wijzigen van wachtwoorden.
De mededeling aan de betrokkene(n) bevat verder nagenoeg dezelfde informatie als de melding aan de Autoriteit Persoonsgegevens. Het is verstandig om de communicatie helder en compact te houden.
5 – Bepaal een communicatiestrategie
Zodra een melding aan de betrokkenen is gedaan, zullen betrokkenen zich met vragen of opmerkingen tot de onderneming wenden. Bij een groot datalek zal mogelijk ook de pers contact opnemen. Afhankelijk van de aard en omvang van het datalek is het daarom verstandig om een communicatiestrategie op te stellen.
Bepaal via welke kanalen door betrokkenen contact kan worden opgenomen, zoals per telefoon, e-mail of chat. Spreek af welke personen en/of afdelingen de pers te woord zullen staan en welke informatie verstrekt zal worden aan de pers. Bepaal ook welke personen en/of afdelingen de betrokkenen te woord zullen staan. Zorg voor voldoende capaciteit voor de communicatie. Check daartoe of je voldoende personele bezetting hebt, of chakel indien nodig een callcenter in.
Door betrokkenen en eventuele media passend en correct te informeren, voorkom je paniek en houd je de regie in handen. Tevens verkleint dit het risico op schadeclaims door betrokkenen.
6 – Bereid je voor op toekomstige (juridische) gevolgen
De Autoriteit Persoonsgegevens kan naar aanleiding van het melden van het datalek contact opnemen. Zo kan de Autoriteit Persoonsgegevens om meer informatie of inlichtingen verzoeken, bepalen dat de betrokkenen alsnog geïnformeerd moeten worden of een (kortlopend) onderzoek starten. Ook kunnen betrokkenen zich formeel tot de onderneming wenden om te proberen om de door hen geleden schade te verhalen.
Het verdient daarom aanbeveling per datalek een juridische analyse van de situatie te maken en voorbereidingen te treffen voor een onderzoek door de Autoriteit Persoonsgegevens of een claim vanuit een betrokkene.
Vragen over onze stappenplan bij een datalek?
Dit blog beschrijft in hoofdlijnen wanneer er sprake is van een datalek en geeft een stappenplan hoe in hoofdlijnen gehandeld moet worden bij een datalek. Ieder datalek is anders. De aanpak van een enorm datalek die je in het nieuws ziet, zoals het Cambridge Analytica schandaal of de hack op LinkedIn, verschilt vanzelfsprekend van een verloren USB-stick met daarop 30 telefoonnummers van medewerkers.
Twijfelt u of er sprake is van een datalek? Of heeft u hulp nodig bij het nemen van maatregelen, het doen van een melding aan de Autoriteit Persoonsgegevens of betrokkenen, of bij het bepalen van de juridische gevolgen? Ons Privacy en Cybersecurity Team staat klaar om Eerste Hulp Bij Datalekken te verlenen.
Tip: download het stappenplan
Via de button bovenaan dit blog kunt u het stappenplan in een visuele vorm downloaden, printen en/of verspreiden in uw organisatie. Zo hebt u altijd het stappenplan bij de hand voor het geval dat het onverhoopt misgaat. Onze (directe) contactgegevens staan daarop gepubliceerd, zodat u ons rechtstreeks weet te bereiken in geval van een (mogelijk) datalek.
