In de volksmond “een datalek”, in AVG-termen een “inbreuk in verband met persoonsgegevens”. Geregeld komt er een datalek, klein of groot, voorbij in het nieuws. Maar wanneer heb je te maken met een datalek? En moet je dat datalek dan ook melden aan de Autoriteit Persoonsgegevens? Ik leg het je haarfijn uit:
Wat is een datalek?
Datalek is een term die niet in de wet wordt uitgelegd. Wat we ermee bedoelen is wél uitgelegd in de Algemene verordening gegevensbescherming (AVG). Letterlijk staat daar:
“een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”
Een hele mond vol. Als we de tekst ontleden, dan staat er eigenlijk het volgende:
- Er heeft een inbreuk op de beveiliging plaatsgevonden;
- Daardoor is iets gebeurd wat niet zo bedoeld was, het was per ongeluk of onrechtmatig;
- Door die gebeurtenis zijn persoonsgegevens ofwel verloren gegaan, vernietigd, gewijzigd of ingezien door iemand, terwijl dat niet de bedoeling was;
- Dit kan betrekking hebben op persoonsgegevens in verschillende stadia. Namelijk terwijl het ergens opgeslagen stond, of doorgestuurd werd, of op een andere manier werd verwerkt.
Belangrijk is natuurlijk wel dat de AVG überhaupt van toepassing was op deze verwerking.
Het datalek moet je soms melden
Niet alle datalekken hoeven gemeld te worden. Soms is de impact van een datalek namelijk zó klein, dat volstaan kan worden met het intern nemen van een aantal maatregelen. Om te beoordelen of sprake is van een datalek dat gemeld moet worden aan de Autoriteit Persoonsgegevens of aan de betrokkenen van wie de gegevens zijn gelekt, wordt altijd naar het risico gekeken.
De verwerkingsverantwoordelijke dient zich af te vragen welk risico het datalek voor de betrokkenen met zich heeft gebracht en hoe groot dat risico is. Deze afweging is niet altijd even objectief en daardoor niet gemakkelijk te maken. Om handvatten te bieden, heeft de AP daarom een voorbeeldlijst gemaakt. Hieruit volgt dat wanneer gevoelige gegevens (zoals medische dossiers) zijn ingezien door onbevoegde personen, vaak sprake is van een hoog risico.
Het datalek moet je altijd registreren
Datalekken moeten altijd, hoe groot of hoe klein ook, intern geregistreerd worden in een register of overzicht. Dit kan simpelweg in een Excel, maar ook in meer uitgebreide systemen. Denk aan een ticketsysteem of afwijkingenregister. Benoem daarbij altijd (1)wat er gebeurd is, (2)wanneer het gebeurd is, (3)hoe het opgelost is, (4)hoe het in de toekomst voorkomen wordt en (5)of het datalek gemeld is.
Consequenties
Het is alom bekend dat de AVG fikse boetes kent. Ook voor datalekken geldt dat. Deze kunnen opgelegd worden vanwege het feit dat de beveiliging onvoldoende was, waardoor een datalek plaats kon vinden. Maar ook op het niet of niet goed intern registreren ervan. En uiteraard, het niet melden ervan terwijl dit wel verplicht was.
Allerlei redenen voor een goed privacybeleid en een strakke datalekprocedure.
Vragen? Ik help je graag op weg met praktisch juridisch advies waar je direct in de praktijk me aan de slag kunt!
AdviesJurist
&
Privacy Professional
Het overbrengen van kennis op een manier die past bij de organisatie, zorgt ervoor dat organisaties zelf tot inzichten komen.
Kies een van de adviespakketten
Klik hierDemi denkt mee, communiceert helder en effectief. Zij maakt onbegrijpelijke taal voor mij begrijpelijk.
Center of Connection
Manon Kor
