De meldplicht datalekken: wanneer wel en niet melden?

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 2 in een reeks blogs over de nieuwe privacywetgeving.

Al sinds 1 januari 2016 is de meldplicht datalekken van kracht, waaraan organisaties dus nu al (en niet pas vanaf 25 mei 2018!) moeten voldoen. Maar wat is nu eigenlijk een datalek en wanneer moet u dat waar melden?

Wat is een datalek?
Er is sprake van een datalek als er een (A) beveiligingsincident heeft plaatsgevonden waarbij ofwel (B)i persoonsgegevens verloren zijn gegaan ofwel – als er geen persoonsgegevens verloren zijn gegaan – (B)ii onrechtmatige verwerking van die persoonsgegevens redelijkerwijs niet is uit te sluiten. Dat klinkt natuurlijk nogal abstract, dus laten we dit verduidelijken met een voorbeeld:

(A) Beveiligingsincident
Een medewerker heeft zijn zakelijke laptop in zijn auto laten liggen en die laptop is vervolgens uit de auto gestolen. Dat is natuurlijk een beveiligingsincident, maar is het ook een datalek? Dat is in de eerste plaats natuurlijk afhankelijk wat er op die laptop stond, maar laten we er voor het voorbeeld van uitgaan dat er (financiële) klantgegevens op de laptop stonden.

(B)i Persoonsgegevens zijn verloren gegaan
Als die persoonsgegevens nergens anders waren opgeslagen dan alleen op deze laptop, dan betekent dat dat de persoonsgegevens verloren zijn gegaan (u hebt ze in ieder geval niet meer). Dat is dus een datalek.

(B)ii Onrechtmatige verwerking redelijkerwijs niet uit te sluiten
Waren de gegevens wel ook nog ergens anders opgeslagen? Dan is het wellicht geen datalek, maar alleen als u redelijkerwijs kunt uitsluiten dat de persoonsgegevens onrechtmatig zijn verwerkt. Dat kan als u nagenoeg zeker weet dat een onbevoegde niet bij de gegevens heeft kunnen komen, bijvoorbeeld doordat die goed versleuteld waren. Let daarbij op dat de laptop zelf misschien wel ontzettend goed beveiligd kan zijn, maar dat iemand die een beetje handig is met computers misschien ook gewoon de harde schijf kan verwijderen en op die manier alsnog bij de gegevens zou kunnen komen. Onrechtmatige verwerking is dus niet snel redelijkerwijs uit te sluiten!

Datalek melden bij de Autoriteit Persoonsgegevens
We hebben nu vastgesteld dat er waarschijnlijk sprake is van een datalek, maar wat nu? Moet u een datalek altijd melden? Nee, dat hoeft alleen als er sprake is van (een aanzienlijke kans op) ernstige nadelige gevolgen voor de betrokkenen (de personen van wie de gegevens zijn gelekt). Dat kan het geval zijn als (A) persoonsgegevens van gevoelige aard zijn gelekt of (B) de aard en omvang van de inbreuk leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. In die gevallen moet het datalek binnen 72 uur na ontdekking daarvan worden gemeld bij de Autoriteit Persoonsgegevens!

(A) persoonsgegevens van gevoelige aard
Persoonsgegeven van gevoelige aard zijn bijzondere persoonsgegevens als bedoeld in de Wbp/AVG (gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke gegevens) of persoonsgegevens die geen ‘bijzondere persoonsgegevens’ zijn maar anderszins van gevoelige aard zijn (bijvoorbeeld BSN, financiële gegevens, inloggegevens).

De (financiële) klantgegevens die op de laptop stonden vallen hier mogelijk onder, dus in dat geval moet u het datalek melden bij de Autoriteit Persoonsgegevens.

(B) de aard en inbreuk van de omvang leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen
Als het niet gaat om persoonsgegevens van gevoelige aard, dan moet u het datalek wellicht toch melden als de aard en omvang van de inbreuk dusdanig zijn dat die leiden tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dit zal bijvoorbeeld het geval zijn als er bijzonder veel persoonsgegevens van grote groepen betrokkenen zijn gelekt (een bestand met veel soorten gegevens van veel verschillende betrokkenen is aantrekkelijk voor doorverkoop) of als de beslissingen die op basis van de betreffende gegevens genomen worden ingrijpend zijn (bijvoorbeeld als het gaat om financiële gegevens die worden gebruikt voor een kredietwaardigheidsonderzoek).

Datalek melden bij de betrokkenen
U hebt het datalek binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens. Mooi! Maar mogelijk bent u nog niet klaar. Sommige datalekken moeten niet alleen bij de Autoriteit worden gemeld, maar ook bij de personen op wie de gelekte gegevens betrekking hebben. Dat is het geval als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen.

Daarvan zal in ieder geval sprake zijn als het gaat om persoonsgegevens van gevoelige aard. In het voorbeeld van de gestolen laptop met financiële gegevens is het denkbaar dat die gegevens door onbevoegden worden misbruikt en dat dat financiële consequenties zal hebben voor de betrokkenen. In dat geval moet u het datalek dus niet alleen bij de Autoriteit Persoonsgegevens, maar ook bij de betrokkenen melden.

Ten slotte
De afweging of een datalek aan de Autoriteit Persoonsgegevens en wellicht ook aan de betrokkenen moet worden gemeld, moet u zelf maken. Dit zal niet in alle gevallen eenvoudig zijn en wellicht is er nader onderzoek nodig. Bij twijfel kunt u ervoor kiezen om in ieder geval binnen de termijn van 72 uur alvast een ‘pro forma-melding’ te doen om de termijn te redden. De details kunt u dan achteraf nog aanvullen of, mocht u tot de conclusie komen dat het datalek toch niet meldplichtig was, de melding weer intrekken.

Wellicht bent u huiverig om een datalek bij de Autoriteit Persoonsgegevens te melden, omdat u bang bent een boete te krijgen. In dat geval kunnen we u mogelijk enigszins geruststellen: op het moment van schrijven van deze blog heeft de Autoriteit nog nooit een boete uitgedeeld in verband met een datalek. Als de Autoriteit met waarschuwen ook het doel van de meldplicht (de betere bescherming van persoonsgegevens) kan bereiken, dan doet ze dat liever. Vrees voor een boete zou dus geen reden moeten zijn om een datalek niet te melden. Sterker nog, het stelselmatig onder de pet houden van datalekken zal bij ontdekking juist een reden voor de Autoriteit Persoonsgegevens kunnen zijn om wél een boete op te leggen en kan ook leiden tot ernstige reputatieschade.

Heeft u nog vragen over dit onderwerp of wilt u hulp bij de afweging of een datalek gemeld moet worden? Het privacyrechtteam van Valegis Advocaten is u graag van dienst.

Dit artikel is geschreven door Daphne Jerphanion.

De verwerkersovereenkomst: wie, wat en hoe? - Valegis Advocaten