Vrijwel alle Nederlandse bedrijven en ondernemingen hebben met de Algemene verordening gegevensbescherming (AVG) te maken. Dit betekent dat ze aan diverse regels zijn gebonden met betrekking tot het verwerken van persoonsgegevens.
In deze blog kijken we naar één van de verplichtingen die de AVG met zich meebrengt: de meldplicht datalekken. Wat is een datalek? Hoe herkent u datalekken en wat moet u ermee? Lees verder voor alle antwoorden.
Algemene verordening gegevensbescherming
Voordat we uitleggen wat een datalek is, eerst een korte introductie. Op 25 mei 2018 werd binnen de hele EER (de Europese Economische Ruimte) de AVG ingevoerd. In Nederland kwam deze verordening in de plaats van de Wet bescherming persoonsgegevens (Wbp), wat resulteerde in een flinke uitbreiding van de privacyrechten.
De AVG zorgt dat persoonsgegevens op een wettige, eerlijke en transparante manier worden verwerkt. Dit betekent dat instellingen niet zomaar persoonsgegevens mogen verzamelen, opslaan of gebruiken, zonder zich aan de regels te houden.
Wat is een datalek?
De autoriteit persoonsgegevens definieert een datalek als:
“…toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie.”
Dit kunnen allerlei situaties zijn. Praktisch betekent het echter dat sprake is van een datalek wanneer een bedrijf de controle over de aan hem toevertrouwde gegevens kwijt is, of dreigt kwijt te raken. Het gaat hier om zowel online als offline gegevens, dus ook bijvoorbeeld een archief dat vernietigd raakt door een brand.
Bij de meeste datalekken betreft het echter persoonsgegevens die door een bedrijf veilig afgeschermd zouden moeten zijn, maar die per ongeluk door externe partijen zijn bemachtigd of gezien. Dit kan gaan om algemene persoonsgegevens zoals een naam of woonplaats, of om bijzondere persoonsgegevens zoals gegevens over etnische afkomst of medische geschiedenis.
Enkele voorbeelden van mogelijke datalekken
Datalekken kunnen op zeer veel verschillende manieren ontstaan. Enkele voorbeelden van veelvoorkomende datalekken zijn:
- Een e-mail naar een groot aantal personen, waarbij deze personen per ongeluk de andere ontvangers ook kunnen zien. Dit is het geval wanneer een lijst met e-mailadressen per ongeluk onder ‘aan’ of ‘CC’ is geplaatst, in plaats van onder ‘BCC’.
- Een cyberaanval op een ziekenhuis, waarbij externe partijen toegang verkrijgen tot medische dossiers.
- Een bank of financiële instelling die per ongeluk een financieel overzicht naar de verkeerde ontvanger stuurt.
- Gevoelige gegevens die worden opgeslagen op een onbeveiligde, publiek toegankelijke server.
- Medewerkers van een bedrijf die makkelijk te raden wachtwoorden gebruiken, waardoor hackers zonder veel moeite binnenkomen.
- Papieren met persoonlijke gegevens die op- of buiten kantoor rondslingeren, of in een gedeelde papierbak van een groot kantoorpand belanden.
- Een gestolen laptop of telefoon.
Welke datalekken moet u melden?
Zoals u ziet in de bovenstaande lijst, zit een datalek in een klein hoekje. Het doen van een melding is echter niet altijd nodig. De Autoriteit Persoonsgegevens stelt namelijk het volgende:
- Een inbreuk moet aan de bevoegde toezichthoudende autoriteit worden gemeld, tenzij het onwaarschijnlijk is dat ze een risico voor de rechten en vrijheden van natuurlijke personen inhoudt.
- Een inbreuk wordt alleen aan de persoon meegedeeld als het waarschijnlijk is dat ze een hoog risico voor de rechten en vrijheden inhoudt.
In de praktijk betekent dit dat een melding moet worden gedaan wanneer de inbreuk kan leiden tot lichamelijke, materiële of immateriële schade voor de personen wiens gegevens zijn gelekt.
Ook moet een melding worden gedaan wanneer het gaat om gegevens met betrekking tot ras of etnische afkomst, politieke opvatting, religie of levensbeschouwelijke overtuigingen, vakbondslidmaatschap en medische- of genetische gegevens.
Om instellingen te helpen de juiste beslissing te maken, heeft de Autoriteit Persoonsgegevens uitgebreide richtlijnen opgesteld die precies uitleggen welke situaties gemeld moeten worden. Echter, deze richtlijnen zijn ingewikkeld en veel instellingen laten het uitzoekwerk liever aan een expert over.
ComplyNow helpt daarom graag bij het vaststellen of er sprake is van een datalek en bij het melden hiervan. Lees meer over onze consultancy-diensten of neem contact met ons op voor vragen of een vrijblijvende kennismaking.
Het doen van de melding
Wanneer u een datalek constateert, moet u in principe binnen 72 uur een melding doen bij de Autoriteit Persoonsgegevens. Dit doet u door middel van het meldformulier datalekken. Hiermee doorloopt u stap-voor-stap alle benodigde vragen en onderdelen. Heeft u een datalek gemeld aan de Autoriteit Persoonsgegevens, dan is de kans groot dat u ook een melding moet doen bij de personen wiens gegevens zijn gelekt. Meer hierover vindt u in de guidelines datalekken.
De schade beperken
Het doen van de melding is echter niet alles. Uiteraard bent u ook verplicht om correct om te gaan met het datalek en de schade zo goed mogelijk te beperken. Dit doet u bijvoorbeeld door:
- Bestanden offline te halen of te vergrendelen.
- Computers, laptops of smartphones te wissen of te vergrendelen.
- Een verkeerde ontvanger te vragen om ten onrechte verkregen gegevens te wissen.
- De toegang tot accounts te blokkeren.
Hoe sneller u handelt, hoe kleiner de kans op schade. Zorg daarom dat uw medewerkers veilig met gegevens omgaan en precies weten hoe ze een datalek herkennen. Meldt u een datalek namelijk niet of te laat, dan kan de Autoriteit Persoonsgegevens flinke boetes opleggen.
Hulp nodig?
Omdat datalekken steeds vaker voorkomen, kiezen veel instellingen ervoor om een training AVG te volgen. Zo weet u precies hoe u datalekken voorkomt en wat u moet doen wanneer u er een herkent.
ComplyNow biedt een praktische training AVG, waarin uitgebreid wordt ingegaan op datalekken en alle handelingen hieromheen. Ook hebben de Compliance Officers van ComplyNow jarenlange ervaring in het herkennen en melden van datalekken. Heeft u ook hulp nodig? Neem dan gerust contact met ons op via (088) 600 14 50 of [email protected].
