• Nieuws

De 5 grootste misverstanden over datalekken

29 december 2016
Privacy - Privacy

Volgens de AP zijn er sinds de invoering van de Meldplicht Datalekken op 1 januari 2016 bijna 4000 meldingen van datalekken binnengekomen. In onze praktijk zien we dat er veel onduidelijkheid bestaat over datalekken en het melden daarvan. Hieronder noemen we daarom de grootste misverstanden over datalekken.

  • Misverstand 1: Ieder beveiligingsincident is een datalek

Het begrip datalek is volgens de Wet Bescherming Persoonsgegevens (Wbp) “een inbreuk op de beveiliging” en het begrip moet ruim worden uitgelegd. Maar dat betekent niet dat er bij ieder beveiligingsincident sprake is van een datalek in de zin van de Wbp. Er moet sprake zijn van een daadwerkelijk lek van data. Soms is er alleen een tekortkoming van de beveiliging, zoals een verouderde versie van antivirussoftware. Dan is er weliswaar een beveiligingslek, maar geen datalek. Verder moet het beveiligingsincident ook tot gevolg hebben gehad dat er persoonsgegevens verloren zijn gegaan. Of dat onrechtmatige verwerking van de persoonsgegevens niet kan worden uitgesloten. Maar als bijvoorbeeld een malware-besmetting alleen tot gevolg heeft gehad dat er personeelsnummers (zonder namen van de werknemers) in handen van derden zijn gevallen, is er geen sprake van een datalek in de zin van de Wbp. Raadpleeg de Beleidsregels Meldplicht Datalekken om vast te stellen of er sprake is van een datalek.

  • Misverstand 2: Iedere onrechtmatige verstrekking van persoonsgegevens is een datalek

De meldplicht datalekken heeft betrekking op beveiligingsincidenten. Als een organisatie (al dan niet structureel) persoonsgegevens verstrekt aan derden, zonder dat daarvoor een in de Wbp genoemde grondslag voor is en die onverenigbaar is met het doel van de verkrijging van de gegevens, is er sprake van overtreding van de Wbp (en kan de toezichthouder boetes opleggen). Je hoeft die overtreding echter niet te melden aan de Autoriteit Persoonsgegevens, althans niet op grond van de Meldplicht Datalekken. Uiteraard moet je de overtreding wel zo snel mogelijk beëindigen, ook omdat dit als een boeteverlagende omstandigheid geldt, mocht de toezichthouder de overtreding gaan onderzoeken (zie de Boetebeleidsregels)

  • Misverstand 3: Ieder datalek moet worden gemeld bij de Autoriteit Persoonsgegevens

Het melden van een datalek hoeft alleen als dit lek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Daarvan is sprake als er een grote hoeveelheid persoonlijke data is gelekt of als het om gegevens van gevoelige aard gaat. Dat zijn financiële of medische gegevens, maar ook gegevens over relatieproblemen, inloggegevens of BSN. Maar als er bijvoorbeeld alleen een betrekkelijk beperkt aantal NAW-gegevens van klanten en collega’s op een gestolen laptop staan, hoeft dat incident niet te worden gemeld bij de toezichthouder. Dat kan in bepaalde gevallen anders zijn (bijvoorbeeld als de laptop van een medewerker van een verslavingsinstelling is), maar in veel gevallen kan melding in dergelijke gevallen achterwege blijven. Raadpleeg de Beleidsregels Meldplicht Datalekken om vast te stellen of het datalek moet worden gemeld aan de Autoriteit Persoonsgegevens.

  • Misverstand 4: Als je het datalek niet binnen 72 uur na ontdekking meldt, riskeer je een boete van € 820.000 of 10% van de jaaromzet

Nadat je het datalek hebt ontdekt, moet je het lek “onverwijld” melden. Je mag wel enige tijd nemen om te onderzoeken of er daadwerkelijk sprake is van een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens. De termijn van 72 uur geldt als uitgangspunt, maar als je kan aantonen dat je niet binnen die termijn hebt kunnen vaststellen dat er sprake was van een meldingsplichtig lek, leidt een latere melding niet tot een overtreding van de wet. Bovendien zal de toezichthouder voor de te late melding alleen een boete opleggen als je door ernstig verwijtbare nalatigheid niet tijdig hebt gemeld. Daarvan is alleen sprake als je willens en wetens de regels overtreedt met als doel om daar financieel beter van te worden (anders dan het voorkomen van een boete). In alle andere gevallen zal de Autoriteit persoonsgegevens een bindende aanwijzing geven en bij het niet opvolgen daarvan zal bij een volgende te late melding een maximale boete tussen de EUR 120.000 en EUR 500.000 kunnen worden opgelegd (volgens de Boetebeleidsregels van de Autoriteit Persoonsgegevens),

  • Misverstand 5: Als er veel of gevoelige data is gelekt, moet je het altijd melden bij de betrokkenen

Je hoeft een datalek alleen te melden aan de betrokkenen als het datalek ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Daarvan zal natuurlijk snel sprake zijn als er veel gegevens of gegevens van gevoelige aard zijn gelekt. Maar als de gelekte gegevens beveiligd zijn (bijvoorbeeld door encryptie of hashing) kan melding aan de betrokkenen toch niet verplicht zijn. Datzelfde geldt als je bepaalde zwaarwegende redenen hebt om niet te melden. Te denken valt bijvoorbeeld aan een situatie waarin een beursgenoteerde verwikkeld is in een overname. Raadpleeg de Beleidsregels  Meldplicht Datalekken om vast te stellen of er sprake is van een datalek dat moet worden gemeld aan de betrokkene.

Dit artikel is mede geschreven door Marlies Kool.