Datalek

Een datalek is een inbreuk die plaatsvindt op de beveiliging van persoonsgegevens binnen een organisatie. Hierbij is bijvoorbeeld sprake van ongeoorloofde toegang, vernietiging of verandering van persoonsgegevens. Op grond van de Algemene verordening gegevensbescherming (AVG) moeten datalekken in bepaalde gevallen gemeld worden aan de toezichthouder – de Autoriteit Persoonsgegevens (AP) – en aan de getroffen individuen (betrokkenen).

Achtergrond

De voorganger van de AVG, de Privacyrichtlijn, bevatte geen verplichting om datalekken te melden. Ook de Wet bescherming persoonsgegevens (Wbp), die de Privacyrichtlijn in Nederland implementeerde, bevatte die verplichting aanvankelijk niet. Vooruitlopend op de invoering van de AVG is de verplichting om datalekken te melden alsnog in de Wbp opgenomen. Met de komst van de AVG – en het vervallen van de Wbp – moeten datalekken worden gemeld op grond van art. 33 en 34 AVG.

Inbreuk in verband met persoonsgegevens

In de AVG wordt de term ‘datalek’ niet gebruikt. Die spreekt in plaats daarvan van een ‘inbreuk in verband met persoonsgegevens’. Art. 4 lid 12 AVG definieert dit als: ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. In de praktijk en ook door de AP wordt de term ‘datalek’ als synoniem gebruikt voor de hierboven omschreven ‘inbreuk in verband met persoonsgegevens’.

Meldplicht AP

Op grond van art. 33 lid 1 AVG moeten verwerkingsverantwoordelijken een datalek melden aan de toezichthouder zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat de verwerkingsverantwoordelijke kennis heeft genomen van het datalek. Als een verwerker kennis heeft genomen van een datalek moet die de inbreuk ‘zonder onredelijke vertraging’ doorgeven aan de verwerkingsverantwoordelijke. Op de verwerker rust geen verplichting om te melden aan de toezichthouder. Datalekken moeten gemeld worden aan de toezichthouder, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokkenen. De AP biedt op haar website uitleg over de beoordeling van de risico’s.(1)

Meldplicht betrokkenen

Als een datalek verplicht moet worden gemeld aan de AP op grond van art. 33 AVG, dan is het mogelijk dat ook de betrokkenen op de hoogte moeten worden gesteld van het datalek. Deze meldplicht aan betrokkenen staat beschreven in art. 34 AVG. Lid 1 van dat artikel bepaalt dat indien de inbreuk ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen’, de verwerkingsverantwoordelijke onverwijld de betrokkene op de hoogte moet brengen van het lek. Wanneer er concreet sprake is van een hoog risico wordt in de AVG niet toegelicht. De Artikel 29 Werkgroep, het samenwerkingsorgaan van Europese privacy toezichthouders, thans het Europees Comité voor gegevensbescherming, heeft richtsnoeren opgesteld om een nadere invulling te geven aan de meldplicht aan de toezichthouder en de betrokkenen.(2)

Een melding aan de betrokkene kan achterwege gelaten worden in de drie gevallen (zie art. 34 lid 3 AVG):

  1. De gegevens waren onbegrijpelijk voor onbevoegden (versleuteling);
  2. Na het datalek zijn maatregelen genomen die maken dat een hoog risico zich waarschijnlijk niet meer zal voordoen; of
  3. De melding aan de betrokkenen zou een onevenredige inspanning vergen. De individuele melding mag in dat geval vervangen worden door een algemene melding, bijvoorbeeld op de website van de getroffen organisatie.

Voor de melding aan de betrokkenen stelt de AVG geen concrete termijn, er staat alleen dat melding ‘onverwijld’ moet geschieden.

Administratieve boete

De AP kan voor niet of te laat gemelde datalekken een administratieve boete opleggen. Ook als een datalek het gevolg is van onvoldoende beveiligingsmaatregelen kan dit leiden tot een boete. Uit de AVG volgt dat de AP voor schending van (o.a.) de meldplicht datalekken een boete kan opleggen van ten hoogste 10 miljoen euro, of twee procent van de wereldwijde jaaromzet van een organisatie.

Voetnoten

(1) https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
(2) https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/guidelines_meldplicht_datalekken.pdf