De AVG, die per vandaag (25 mei) is ingegaan, schrijft voor dat jouw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de Autoriteit Persoonsgegevens (AP). Wat betekent dit voor jouw bedrijf? Waaraan moet je precies voldoen?
In sommige situaties moet je ook de betrokkene(n) bij het datalek informeren. Deze verplichting is niet nieuw in de AVG en was ook al voorgeschreven in de Wet Bescherming Persoonsgegevens (WBP).
Wat is een datalek?
Een datalek wordt in de AVG (artikel 4) omschreven als ’een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.
Er is alleen sprake van een datalek als zich een beveiligingsincident heeft voorgedaan én als persoonsgegevens verloren zijn gegaan dan wel onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet uit te sluiten is.
Datalek snel melden
Als een datalek heeft plaatsgevonden, meld je deze zonder onredelijke vertraging, maar wel uiterlijk 72 uur nadat je er kennis van hebt genomen. Als de melding aan de AP niet binnen 72 uur plaatsvindt moet je motiveren waardoor de vertraging is opgetreden. Een (sub)verwerker, zoals een leverancier, moet je, omdat je verantwoordelijke bent, onverwijld te informeren zodra hij kennis heeft genomen van een datalek, zodat je nog de gelegenheid hebt tijdig de AP te informeren. Normaal gesproken maak je hierover afspraken met de verwerkers in een zogenaamde verwerkersovereenkomst. Het is dan ook raadzaam om met de verwerker af te spreken dat deze uiterlijk binnen 24 uur aan jou meldt, zodat je nog voldoende tijd hebt om te melden bij de AP.
Niet melden
Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In andere bewoordingen houdt dit in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens of de kans hierop.
Persoonsgegevens van gevoelige aard en factoren met kans op ernstige nadelige gevolgen
Persoonsgegevens van gevoelige aard zijn:
bijzondere persoonsgegevens zoals religieuze of levensbeschouwelijke overtuiging, ras, politieke opvattingen, gegevens over gezondheid
BSN-nummer
gegevens die kunnen leiden tot stigmatisering of uitsluiting
gegevens die onderworpen zijn aan geheimhouding/beroepsgeheim
Factoren met (kans op) ernstige nadelige gevolgen:
omvangrijke verwerkingen of een keten van gegevensverwerking
ingrijpende beslissingen die worden genomen met de gegevens
kwetsbare groepen zoals kinderen en gehandicapten
Hoe meld je een datalek?
Organisaties die een datalek moeten melden, doen dit bij de AP via het digitale meldingsformulier op de website van de AP. Je kan met dit formulier ook een voorlopige melding doen en deze later aanvullen of intrekken.
Welke informatie moet je verstrekken?
De volgende informatie moet je verstrekken:
de aard van het datalek, waar mogelijk onder vermelding van de categorieën van betrokkenen en het aantal betrokkenen
de naam van de persoon met wie contact kan worden opgenomen voor meer informatie
de (waarschijnlijke) gevolgen van het datalek
de maatregelen die je hebt voorgesteld en/of genomen om het datalek aan te pakken.
Documentatieplicht
Voor alle datalekken (ongeacht of je deze hebt gemeld) geldt dat je deze moet vastleggen in bijvoorbeeld een incidentenregister, waarbij je bovenstaande gegevens vastlegt. Daarbij is het raadzaam vast te leggen wat het meldingsnummer van het datalek is dan wel de reden waarom is besloten af te zien van melding.
Melding aan betrokkene
Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (ofwel ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene), dien je de betrokkene(n) onverwijld te informeren. De mededeling aan de betrokkene bevat een toelichting, in duidelijke en eenvoudige taal, op wat er is gebeurd, op de acties en maatregelen die zijn ondernomen, wat het betekent voor de betrokkene en het advies dat je geeft wat betrokkene het beste kan doen.
Let op! In de volgende situaties dient altijd gemeld te worden aan betrokkene(n): het betreft lekken van persoonsgegevens van gevoelige aard, bijvoorbeeld BSN-nummers of financiële gegevens, de persoonsgegevens zijn blootgesteld aan vernietiging of aantasting of de versleuteling van de persoonsgegevens is niet adequaat of niet volledig.
Niet melden aan betrokkene
De mededeling aan de betrokkene(n) is niet vereist wanneer een van de volgende voorwaarden is vervuld:
je hebt passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling van gegevens
je hebt achteraf maatregelen genomen om ervoor te zorgen dat het bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen
de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.