Wanneer levert een datalek een hoog risico op?

Antwoord

Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. In deze gevallen moet u ervan uit gaan dat u het datalek moet melden aan de Autoriteit Persoonsgegevens (AP) en aan de betrokkenen. Tenzij er sprake is van een uitzondering op de meldplicht.

Fysieke schade
Bijvoorbeeld wanneer cruciale medische gegevens zijn gewist waardoor er een risico bestaat dat iemand (tijdelijk) niet de benodigde zorg krijgt. Of bij doorbreking van het beroepsgeheim.

Materiële schade
Bijvoorbeeld wanneer de kans bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander. Of andere vormen van financieel verlies of identiteitsdiefstal of -fraude.

Immateriële schade
Zoals kans op discriminatie, reputatieschade of inbreuk op iemands persoonlijke levenssfeer.

Voorbeelden hoog risico

Van een hoog risico is sprake als een datalek kan leiden tot:

  • Discriminatie: bijvoorbeeld bij een datalek met gegevens over ras, geloof of seksuele geaardheid.
  • Identiteitsdiefstal of –fraude: bijvoorbeeld bij een datalek met complete paspoortkopieën. Of het BSN in combinatie met andere persoonsgegevens.
  • Financiële verliezen: bijvoorbeeld bij een datalek met creditcardgegevens waardoor het risico bestaat dat iemand online bestellingen kan plaatsen op kosten van een ander.
  • Reputatieschade: bijvoorbeeld bij een datalek met gegevens over problematische schulden, verslaving of prestaties op het werk.
  • Doorbreking van beroepsgeheim: bijvoorbeeld bij een datalek met medische gegevens.

Er is ook sprake van een hoog risico wanneer het datalek kan leiden tot:

  • het ongeoorloofd ongedaan maken van gepseudonimiseerde persoonsgegevens.
  • een aanzienlijk economisch of maatschappelijk nadeel.
  • een situatie waarbij de betrokken personen hun rechten en vrijheden niet kunnen uitoefenen. Of geen controle over hun persoonsgegevens kunnen uitoefenen.

Andere voorbeelden van datalekken met een hoog risico:

  • Datalek met bijzondere persoonsgegevens
  • Datalek met strafrechtelijke persoonsgegevens
  • Datalek met informatie over persoonlijke aspecten, bedoeld om profielen op te stellen of te gebruiken. Met name als het gaat om profiling op basis van informatie over beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid, gedrag en locatie.
  • Datalek met persoonsgegevens van kwetsbare groepen. Zoals gehandicapten, mensen die ziek zijn, kinderen en bejaarden.
  • Datalek met een grote hoeveelheid persoonsgegevens en met gevolgen voor een hele grote groep mensen.

Datum: 26 februari 2020
Bron: Autoriteit Persoonsgegevens