Uw organisatie heeft een datalek, maar moet u melden?
Stel: de e-mailadressen van uw nieuwsbriefabonnees zijn gelekt. Moet u dit melden? En hoe zit het als ook de NAW-gegevens zijn gelekt? In welke gevallen moet u melden en wanneer kan zo'n melding aan de Autoriteit Persoonsgegevens (AP) achterwege blijven? U wilt immers niet onnodig de aandacht op uw organisatie vestigen.
Datalek
Allereerst dient de vraag beantwoord te worden of sprake is van een datalek. Er is sprake van een datalek als er een inbreuk is op de beveiliging en bij die inbreuk:
- Persoonsgegevens verloren zijn gegaan; of
- Redelijkerwijs niet uit te sluiten is dat persoonsgegevens onrechtmatig verwerkt zijn.
Onrechtmatige vormen van verwerking zijn de aantasting van persoonsgegevens, onbevoegde kennisneming, wijziging of verstrekking daarvan. Als dit niet redelijkerwijs uit te sluiten is - bijvoorbeeld middels technisch onderzoek - dan is al sprake van een datalek.
Melden aan de Autoriteit Persoonsgegevens
Dat uw organisatie een datalek heeft, betekent nog niet dat het lek ook gemeld moet worden aan de AP. Een meldplicht bestaat op grond van de Telecommunicatiewet en, sinds 1 januari 2016, ook op grond van de Wet Bescherming Persoonsgegevens (Wbp). De Telecommunicatiewet is van toepassing op aanbieders van een openbare elektronische communicatiedienst. In deze blog zal alleen de meldplicht op grond van de Wbp behandeld worden.
Op grond van de Wbp moet een datalek worden gemeld als i) het persoonsgegevens van gevoelige aard betreffen, of ii) als de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens leiden.
Hiermee lijkt het antwoord op de vragen in de inleiding simpel. E-mailadressen zijn geen persoonsgegevens van gevoelige aard en de inbreuk op die persoonsgegevens lijkt - op het eerste gezicht - ook geen ernstige nadelige gevolgen met zich mee te brengen voor de bescherming van persoonsgegevens. In beginsel is dit juist, maar afhankelijk van de omstandigheden kan er toch een meldplicht bestaan. Voor de gemiddelde persoon zijn de gevolgen van het lekken van NAW-gegevens beperkt, maar dat geldt niet voor bijvoorbeeld personen die in een blijf-van-mijn-lijfhuis verblijven. Voor kwetsbare groepen kan een datalek extra risico's met zich meebrengen. Als dit zo is, dient melding te worden gedaan bij de AP. Als uw organisatie gegevens verwerkt van mensen in kwetsbare groepen, dan kunt u er in de meeste gevallen van uitgaan dat bij een datalek (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens aanwezig kan zijn.
Grijs gebied
De verantwoordelijke voor de verwerking van de persoonsgegevens moet zelf de afweging maken of een datalek gemeld wordt of niet. Dit is lastig, omdat het toch een groot grijs gebied blijkt te zijn. De vraag 'moet ik een datalek melden?' is zonder nadere informatie en onderzoek niet direct te beantwoorden met een 'ja' of een 'nee'. De consequenties van het onterecht niet melden kunnen groot zijn, maar zo ook de consequenties van het onterecht wel melden. Het is dus van belang dat, mocht uw organisatie te maken krijgen met een datalek, u op tijd advies inwint en de juiste afweging maakt. Onze privacyrecht advocaten helpen u daar uiteraard graag bij.