AVG: Datalekken
Voor de andere delen uit deze serie kunt u hier klikken.
Op 1 januari 2016 is de Wet meldplicht datalekken in werking getreden. Deze meldplicht houdt in dat organisaties onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben ontdekt. In sommige gevallen dienen zij voorts een melding te maken aan de betrokkenen. De AVG introduceert een meldplicht voor datalekken voor de gehele EU. Deze heeft grotendeels een overlap met de reeds bestaande meldplicht, maar er zijn enkele veranderingen en de AVG hanteert andere begrippen. In het geval er sprake is van een datalek, dient dit bovendien te worden geregistreerd in een intern register. Hierin moeten de feiten omtrent de inbreuk, de gevolgen daarvan en de genomen corrigerende maatregelen worden vastgelegd.1
Een datalek onder de AVG is een inbreuk in verband met persoonsgegevens. Onderscheid dient te worden gemaakt tussen een zwakke plek in de beveiliging, oftewel een beveiligingsincident, en een daadwerkelijk datalek. Om te bepalen of er sprake is van een datalek, dient er sprake te zijn van een inbreuk op de beveiliging, bedoeld in artikel 32 AVG.
Kenmerkend voor een inbreuk op de beveiliging is dat het beveiligingsincident daadwerkelijk gevolgen heeft voor de persoonsgegevens die worden verwerkt.2 Het moet niet slechts gaan om een dreiging of een tekortkoming in de beveiliging.3 Voorts dient het begrip “inbreuk op de beveiliging van persoonsgegevens” ruim te worden uitgelegd.4 Er dient rekening te worden gehouden met de proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen personen.5 Dientengevolge zal een enkele inbreuk op het beveiligingsniveau niet noodzakelijkerwijs duiden op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging.
Enkele voorbeelden van datalekken zijn:
- een kwijtgeraakte USB-stick;
- een gestolen laptop;
- een inbraak door een hacker;
- een malware-besmetting; of
- een calamiteit zoals een brand in een datacentrum.
De AP heeft richtsnoeren opgesteld waarin duidelijke voorbeelden staan van datalekken.6
Wanneer duidelijk is dat er sprake is van een inbreuk, dient te worden onderzocht of dit lek moet worden gemeld aan de AP. Onder de Wbp kan een melding achterwege blijven onder bepaalde omstandigheden. Gedacht kan worden aan een zeer kleinschalig lek dat geen bijzondere persoonsgegeven betreft, zoals de ledenadministratie van een sportvereniging. Dit zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal onder de Wbp niet snel aanleiding geven tot een melding bij het AP. Onder de AVG bestaat er echter slechts een uitzondering wanneer het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Gezien de strenge eisen van de AVG, zal hier niet snel sprake van zijn. In vrijwel alle gevallen zal er een plicht zijn om de inbreuk aan de AP te melden.
De verantwoordelijke meldt een inbreuk zonder onredelijke vertraging (binnen 72 uur na ontdekking) aan de Autoriteit Persoonsgegevens (AP). Deze melding dient de volgende gegevens te bevatten:
- de aard van de inbreuk;
- waar mogelijk de categorieën van persoonsgegevens;
- het aantal betrokkenen die zijn getroffen door de inbreuk;
- de naam en contactgegevens van de functionaris voor gegevensbescherming van de verwerker;
- de waarschijnlijke gevolgen van de inbreuk; en
- de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk aan te pakken.7
In het geval de inbreuk door de verwerker wordt ontdekt, dient dit zonder onredelijke vertraging te worden gemeld aan de verantwoordelijke.8
Als laatste moet worden onderzocht of er een melding aan de betrokkene moet worden gemaakt. In tegenstelling tot de eisen voor de melding aan de AP, zijn de eisen voor het melden aan de betrokkene inhoudelijk niet veel gewijzigd onder de AVG. Melding aan de betrokkene kan achterwege blijven wanneer:
- passende technische en organisatorische beschermingsmaatregelen zijn toegepast op de gegevens, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- er achteraf maatregelen genomen zijn om ervoor te zorgen dat het hoge risico voor de betrokkene zich waarschijnlijk niet meer zal voordoen; of
- de mededeling onevenredige inspanning vergt. In dit geval kan een openbare mededeling of soortgelijke maatregel komen waarbij betrokkenen even doeltreffend worden geïnformeerd.9
Conclusie
De AVG introduceert geen nieuwe definitie van een datalek. Wat wel is veranderd, is de meldplicht aan de AP. Onder de Wbp zijn er een aantal uitzonderingen waarbij melding achterwege kan blijven. Onder de AVG zal een inbreuk vrijwel altijd moeten worden gemeld aan de AP.
- Artikel 33 lid 5 AVG.
- Beleidsregels meldplicht datalekken Autoriteit Persoonsgegevens, p. 20.
- Kamerstukken II 2014/15, 33662, nr. 11, p. 4.
- Kamerstukken II 2013/14, 33662, nr. 6, blz. 4.
- Kamerstukken II 1997/98, 25892, nr. 3, p. 99.
- Autoriteit Persoonsgegevens, De meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp): Beleidsregels voor toepassing van artikel 34a van de Wbp.
- Artikel 33 lid 3 AVG.
- Artikel 33 lid 2 AVG.
- Artikel 34 lid 3 AVG.