Blogs

Voor ondernemers:

19-05-2021

Meld je wel of meld je niet wanneer je een datalek hebt binnen de organisatie?

De Autoriteit Persoonsgegevens (AP) definieert een datalek als zijnde een: "onbedoelde" toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie.Dat woordje “onbedoeld” is opvallend want dan zou er mogelijkerwijs iets anders gelden wanneer een organisatie “bewust” persoonsgegevens lekt? Waarschijnlijk niet, maar opvallend is het wel.

Wanneer er sprake is van een datalek, dan moeten er belletjes gaan rinkelen bij uw ICT afdeling en het management, maar vooral ook moet uw juridische afdeling en/of Privacy-Officer (wanneer die is aangesteld) tijdig op de hoogte raken.
De verantwoordelijkheid voor het melden van een datalek ligt bij de onderneming waarbij het lek is geconstateerd, dus ook wanneer u een externe privacy-officer heeft aangesteld dient u aan die meldplicht te voldoen. Wanneer u een melding moet maken en binnen welke termijn zijn door de onderneming te beoordelen kwesties, maar ik geef hieronder enkele handvatten en voorbeelden ter illustratie.

Het datalek moet tijdig bij het “Meldloket Datalekken” van de AP moet worden gedaan (binnen de 72 uurstermijn). Alleen wanneer het lek bijvoorbeeld geen persoonsgegevens betreft en/of wanneer het lek geen risico oplevert voor de rechten en vrijheden van de betrokkenen, dan hoeft u niet te melden. Data zonder persoonsgegevens kunnen geen datalek opleveren in de zin van de wet.

Wanneer er een zogenaamd hoog risico is voor de rechten en verplichtingen van betrokken personen dan dient u het datalek ook aan al die betrokkenen te melden. In alle gevallen geldt voorts dat u het datalek moet registreren in uw eigen “datalekregister”.

Om een idee te geven wanneer een datalek wel of niet gemeld hoeft te worden:
- een back-up van een USB (wanneer daar nog gebruik van wordt gemaakt) met persoonsgegevens is gestolen tijdens een inbraak.
Dit hoeft niet gemeld te worden wanneer de gegevens geavanceerd versleuteld zijn EN die versleuteling daadwerkelijk niet gekraakt wordt. Komen de gegevens nadien alsnog in onversleutelde vorm vrij, dan moet alsnog een melding worden gedaan! Het incident behoort u altijd te melden in uw datalek/verwerkingsregister.

- bij een online dienstverlener worden bij een cyberaanval persoonsgegevens gekopieerd (of “geript”).
Dit moet altijd gemeld worden bij de AP als een datalek en (afhankelijk van de aard van de persoonsgegevens) is het heel waarschijnlijk dat het datalek ook aan alle betrokkenen (van de gelekte gegevens) moet worden gemeld. Dat kan een enorme logistieke ramp zijn en het kan mogelijk ook negatieve publiciteit opleveren voor uw onderneming. Op het niet melden van het lek en/of het niet melden aan betrokkenen worden echter zware sancties verbonden door de AP.

- als gevolg van een stroomstoring kan zowel de verwerkingsverantwoordelijke als zijn klanten niet bij hun persoonsgegevens.
Hier is geen sprake van een datalek, echter, het incident moet wel in het datalek/verwerkingsregister worden gemeld (artikel 33.5 AVG).

De voorbeelden tonen aan dat scheidslijnen niet eenvoudig te trekken zijn voor niet professionals op het gebied van privacy. Maar wat wel helder is, is dat wanneer er van een datalek sprake is, de melding binnen 72 uur bij de AP moet worden gedaan. Op dit aspect zoomen we verder in omdat nu juist over dit ogenschijnlijk simpele aspect van de wet in de praktijk veel onduidelijkheid heerst.

Het niet melden binnen deze termijn wordt door de AP streng en steeds strenger (zo lijkt het) beboet. Zo kreeg Uber in 2018 nog een boete van € 600.000.- voor het te laat melden van een datalek omdat de melding pas na 1 jaar werd gedaan. Recenter is echter de boete die werd uitgedeeld aan Booking.com van € 475.000 omdat (slechts) 22 dagen te laat werd gemeld!

De vraag die een advocaat zich zou kunnen stellen is of hij zijn cliënten zou moeten adviseren om een datalek daadwerkelijk te melden waarbij a) de 72 uurs termijn reeds is verstreken en b) het datalek niet aan derden gemeld zou hebben hoeven worden op grond van de wet. Van belang daarbij is om de ernst van de gevolgen van het datalek goed in ogenschouw te nemen.

De discussie is niet uitgekristalliseerd onder advocaten en adviseurs, maar  ik zou denken dat het niet melden een minstens even groot risico heeft op een (verhoogde) boete, maar vooral ook het risico in zich heeft dat een onderneming aan de elektronische schandpaal wordt genageld vanwege het bewust niet nakomen van een wettelijke verplichting.

Privacy professionals die actief adviseren om in voorkomende gevallen een datalek niet te melden terwijl dit wettelijk wel zou moeten, bewegen zich (ten minste) op zeer glad ijs en laten zich wellicht te veel leiden door de wensen van hun cliënten. Wij komen deze gevallen in de praktijk in toenemende mate tegen.
Ons standpunt is echter helder: wij adviseren u op een objectieve wijze en zullen nooit adviseren om evidente wettelijke verplichtingen te ontlopen. Niet alleen omdat dat onze werkopvatting is, maar ook omdat wij u er niet mee dienen op de langere termijn.

Mocht u meer vragen hebben of informatie willen over het melden van een datalek, neem dat gerust contact met ons op via telefoonnummer 0314-372800 of stuur ons mail

CS Advocaten maakt gebruik van Cookies

Geef per categorie de keuze voor het gebruik van cookies aan. Wij hebben de cookies van Google Analytics volledig geanonimiseerd en daarom mogen wij die plaatsen zonder toestemming.

In onze Privacyverklaring is hier meer over te lezen. Graag de beste website ervaring? Vink dan alle vakjes aan.

OK