AVG Uitgediept #10: Meldplicht datalekken

Er is sprake van een datalek indien zich een beveiligingsincident voordoet waarbij persoonsgegevens voor de verwerkingsverantwoordelijke verloren zijn gegaan (‘verlies’) of niet is uit te sluiten dat persoonsgegevens in handen van derden zijn gevallen (‘onrechtmatige verwerking’). Daarbij maakt het niet uit of het beveiligingsincident opzettelijk of per ongeluk heeft plaatsgevonden. Als een organisatie voor de beveiliging van de systemen een verouderde versie van antivirussoftware gebruikt is wellicht sprake van een beveiligingslek, maar hoeft nog geen sprake te zijn van een datalek. Maar zodra vervolgens een virusbesmetting van de systemen tot gevolg heeft dat persoonsgegevens toegankelijk zijn geworden voor derden, is wel sprake van een datalek. Andere voorbeelden van beveiligingsincidenten waarbij sprake kan zijn van een datalek zijn onder meer:

• een gerichte aanval door hackers;
• diefstal van een computer, telefoon of laptop;
• het verlies van een dossier, USB-stick of andere gegevensdrager;
• een besmetting door malware als ransomware of cryptoware;
• het weggooien van een vertrouwelijk dossier met het gewone oud papier;
• verzending van een e-mail met persoonsgegevens aan de verkeerde persoon;
• het verlies van een wachtwoord;
• een software- of installatiefout waarbij mogelijk gegevens verloren zijn gegaan;
• het inzien van dossiers door daartoe onbevoegde werknemers; en
• brand in een datacentrum.

Niet ieder datalek hoeft te worden gemeld. Onder de Wbp geldt dat een datalek aan de AP moet worden gemeld, als het datalek leidt tot (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. Dit dient van geval tot geval te worden beoordeeld. Gezichtspunten die daarbij een rol spelen zijn onder meer de omvang van het datalek, de aard van de gelekte gegevens, het aantal betrokken personen van wie persoonsgegevens zijn gelekt en de positie van de getroffen betrokkenen. Naarmate de persoonsgegevens van grotere aantallen personen verloren zijn gegaan of mogelijk zijn blootgesteld aan onrechtmatige verwerking, zal eerder moeten worden gemeld. Dat is ook het geval indien persoonsgegevens van gevoelige aard zijn gelekt. Er is sprake van persoonsgegevens van gevoelige aard – niet te verwarren met ‘bijzondere persoonsgegevens’ – als verlies of onrechtmatige verwerking van die gegevens kan leiden tot stigmatisering of uitsluiting van de betrokkene, tot schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Voorbeelden van dergelijke persoonsgegevens van gevoelige aard zijn onder meer bijzondere persoonsgegevens als bedoeld in artikel 16 Wbp (gegevens over onder meer afkomst, godsdienst, politieke voorkeur, seksualiteit en gezondheid); gegevens over de financiële of economische situatie van de betrokkenen (schulden, salaris, betalingsgegevens); gebruikersnamen, wachtwoorden en andere inloggegevens; gegevens die kunnen worden misbruikt voor (identiteits)fraude (identiteitsbewijzen, burgerservicenummers of biometrische gegevens) en andere gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene (zoals gegevens over verslavingsproblematiek, functioneren op het werk of relatieproblemen).

Onder de AVG zal een ander, strenger uitgangspunt worden gehanteerd. Op grond van artikel 33 AVG dient een organisatie die persoonsgegevens verwerkt ieder datalek te melden aan de AP, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit strengere uitgangspunt heeft tot gevolg dat veel eerder tot melding moet worden overgegaan. Op grond van artikel 33 lid 3 AVG dient in ieder geval de volgende gegevens aan de AP te worden gemeld:

• de aard van het datalek, indien mogelijk onder vermelding van de categorieën van persoonsgegevens die zijn gelekt, de categorieën van betrokkenen en een indicatie van de hoeveelheid gelekte data en het aantal getroffen personen;
• de naam en contactgegevens van de functionaris voor de gegevensbescherming;
• de waarschijnlijke gevolgen van het datalek; en
• de maatregelen die zijn genomen om het datalek aan te pakken dan wel de schadelijke gevolgen daarvan te beperken.

Een datalek dat aan de AP moet worden gemeld, hoeft niet altijd ook aan de betrokkene te worden gemeld. Ten aanzien van de meldplicht aan de betrokkene moet een aparte afweging worden gemaakt. Gedachte achter de melding aan de betrokkene is dat deze daardoor alert kan zijn op en zich kan wapenen tegen de mogelijke gevolgen van het datalek. Onder de Wbp geldt dat een datalek aan de betrokkene moet worden gemeld, als het waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Daarvan is sprake als betrokkene door het datalek te maken krijgt met bijvoorbeeld (identiteits)fraude, discriminatie, aantasting in eer en goede naam of een onrechtmatige publicatie. Onder de AVG zal een datalek aan de betrokkene moeten worden gemeld, als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wat dit criterium concreet inhoudt, zal nog moeten blijken aan de hand van bijvoorbeeld richtlijnen van de AP. Zowel onder de Wbp als de AVG hoeft geen melding aan de betrokkene te worden gedaan, als passende beschermingsmaatregelen zoals versleuteling zijn getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor derden. Daarnaast hoeft onder de AVG geen melding aan betrokkene te worden gedaan, als achteraf maatregelen zijn genomen om ervoor te zorgen dat het hoge risico zich waarschijnlijk niet meer zal voordoen of als een melding onevenredige inspanningen zou vergen. In het laatste geval volstaat dan bijvoorbeeld ook een openbare mededeling die even doeltreffend is.

De meldingen aan de AP en eventueel aan de betrokkene, moeten zowel onder de Wbp als de AVG zonder onnodige vertraging en zo mogelijk niet later dan 72 uur worden gedaan na ontdekking van het datalek. Deze termijn geldt ook als een organisatie gebruik maakt van een bewerker. Ook als een bewerker het datalek ontdekt, is een organisatie uiteindelijk verantwoordelijk voor het tijdig doen van de melding. Een organisatie is dus afhankelijk van snel handelen en efficiënte medewerking van een bewerker. Instrueer daarom ook andere personen binnen de organisatie, zoals werknemers, dat eventuele datalekken altijd zo spoedig mogelijk dienen te worden gerapporteerd.

Op grond van de Wbp moeten organisaties een overzicht bijhouden van alle meldingsplichtige datalekken. Onder de AVG zullen organisaties van alle datalekken een overzicht moeten bijhouden, waaronder dus ook de niet-meldingsplichtige.

Onder de Wbp moet het overzicht per datalek in ieder geval de feiten en gegevens omtrent de aard van de inbreuk bevatten. Als het datalek aan de betrokkene is gemeld, moet ook de tekst van de kennisgeving aan de betrokkene in het overzicht worden opgenomen. Onder de AVG moet in het overzicht worden opgenomen wat de feiten en gevolgen van het datalek zijn en wat de genomen maatregelen tot herstel zijn.

Hoe lang de overzichten moeten worden bewaard, is in de Wbp en de AVG niet bepaald. Uit de richtlijnen van de AP ten aanzien van de Wbp volgt dat van minimaal één jaar moet worden uitgegaan.

Bij niet-naleving van de meldplicht datalekken kan de AP een boete opleggen. Onder de Wbp is de hoogte van de basisboete vastgesteld tussen € 120.000,- en € 500.000,-. In uitzonderlijke situaties kan de boete echter oplopen tot maximaal € 820.000,- of 10% van de jaaromzet. Onder de AVG kan de boete oplopen tot € 20.000.000,- of 4% van de wereldwijze jaaromzet. Niet-naleving van de meldplicht datalekken kan een organisatie bovendien flinke imagoschade opleveren. Voor een uitvoerige toelichting verwijs ik u naar een eerdere blog van Marcel Smit.

Het voorkomen van een datalek ligt niet altijd binnen uw macht. Door passende beschermingsmaatregelen zoals versleuteling te treffen, kunt u wel voorkomen dat een datalek aan de betrokkene moet worden gemeld. Sectorspecifieke beveiligingsnormen kunnen behulpzaam zijn bij het vaststellen en treffen van de voor uw organisatie passende beschermingsmaatregelen. Daarnaast vereist de meldplicht datalekken van zowel u als een verwerker adequaat en voortvarend handelen zodra een datalek is ontdekt. Het is dan ook van groot belang om duidelijke afspraken te maken in een verwerkersovereenkomst.

Het afsluiten van een bewerkersovereenkomst tussen u en een bewerker met daarin duidelijke afspraken, is daarom verstandig. Ook kan een op uw organisatie toegesneden draaiboek over datalekken zeer zinvol zijn. De toename van de hoogte van de boetes bij niet-naleving van de meldplicht datalekken onder de AVG, maakt het belang van duidelijke afspraken met een bewerker en een draaiboek datalekken des te groter.

Het is belangrijk om goed op het netvlies te hebben dat het datalek zèlf maar het nalaten om dit bij de AP te melden, kan leiden tot oplegging van een bestuurlijke boete. Bij twijfel of een datalek moet worden gemeld, verdient dan ook sterk de voorkeur om tot melding over te gaan. Gezien de hoge boetes die bij het uitblijven van een melding kunnen worden opgelegd, heeft een organisatie die persoonsgegevens verwerkt er dan ook een groot financieel belang bij dat werknemers en andere personen binnen de organisatie een datalek waarbij (mogelijk) persoonsgegevens in handen van derden zijn gevallen (zoals het verlies van een laptop of het kwijtraken van een dossier of digitale gegevensdrager) zo spoedig mogelijk aan hun  werkgever rapporteren, zodat de schadelijke gevolgen van het datalek zoveel mogelijk kunnen worden beperkt en indien noodzakelijk tijdig melding aan de AP kan worden gedaan. Het valt dan ook aan te bevelen om in de arbeidsovereenkomst met uw medewerkers of in uw personeelshandboek een artikel op te nemen op grond waarvan werknemers  diefstal of verlies van gegevensdragers op straffe van een boete zo spoedig mogelijk aan de werkgever dienen te melden.