Datalekken

U ziet het steeds vaker in het nieuws: (persoons)gegevens die door slechte beveiliging, een menselijke fout of misschien wel door hacking of diefstal op straat komen te liggen. De kans is groot dat er in ieder organisatie – waarschijnlijk zelfs met enige regelmaat – wel eens een datalek zal voorkomen. Dus ook in die van u! U doet er natuurlijk alles aan om dat te voorkomen, maar wat te doen als dat toch een keer gebeurt?

Allereerst dient u na te gaan of er inderdaad sprake is van een datalek. Dat is pas het geval wanneer er bij een beveiligingsincident persoonsgegevens verloren zijn gegaan of in verkeerde handen zijn gevallen.

Onder beveiligingsincident wordt verstaan iedere inbreuk op uw beveiliging. Dat kan dus een hack zijn, maar ook een werknemer die zijn tas (met laptop of een belangrijk dossier) in de trein heeft achtergelaten of bijvoorbeeld een computer in het ziekenhuis die na gebruik door personeel niet steeds vergrendeld wordt en dus voor derden toegankelijk is geweest.

Niet ieder beveiligingsincident leidt ook daadwerkelijk tot een datalek. Dat is pas het geval als bij dat beveiligingsincident persoonsgegevens (dat zijn alle gegevens die direct of indirect herleidbaar zijn tot een persoon, zoals natuurlijk een naam en adres, maar ook een kenteken of telefoonnummer) verloren zijn gegaan of als u niet redelijkerwijs kunt uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt.

Bij bijvoorbeeld een hack hoeven de gegevens niet kwijt te zijn (u kunt er misschien zelf nog gewoon bij), maar u hebt geen idee wat de hacker allemaal heeft kunnen kopiëren. In dat geval is er dus sprake van een datalek.

In bepaalde gevallen moet u een datalek melden. Soms alleen bij de Autoriteit Persoonsgegevens, maar soms ook aan de betrokkenen (de personen van wie de gegevens verloren zijn gegaan of geopenbaard zijn). Een melding aan de Autoriteit Persoonsgegevens is verplicht als er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Dat zal waarschijnlijk het geval zijn als er persoonsgegevens van gevoelige aard (bijvoorbeeld gezondheidsgegevens of gegevens die tot identiteitsfraude kunnen leiden, zoals BSN nummers) zijn gelekt of als de omvang van het lek erg groot is. U zal het lek bovendien bij de betrokkenen moeten melden als u kunt vermoeden dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen (bijvoorbeeld bij mogelijke identiteitsfraude).

Meer informatie

Heeft er binnen uw organisatie (mogelijk) een datalek plaatsgevonden, of vraagt u zich af hoe dat juist voorkomen kan worden? Het Privacyrechtteam van Valegis Advocaten adviseert u daar graag over.