De Privacy Consultant
Meesters in het privacyrecht

Datalekken

Wat is een datalek?

De juridische definitie van een datalek (inbreuk in verband met persoonsgegevens) is:

een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.1

Het klassieke voorbeeld hierbij is een hacker die persoonsgegevens openbaar maakt. Niet alleen de op onrechtmatige verstrekking van persoonsgegevens is een datalek, maar ook de vernietiging van persoonsgegevens is een datalek. Indien een hacker de persoonsgegevens op de server van de verwerkingsverantwoordelijke verwijdert en hier geen backup van is, dan is dit ook een datalek.

Het moet echter wel gaan om een daadwerkelijke inbreuk en niet alleen een veiligheidsincident. Zo kan een hacker zijn binnengedrongen in een systeem waarin persoonsgegevens worden opgeslagen, maar heeft de hacker deze gegevens niet kunnen inzien of verwijderd. In dergelijke gevallen is er wel degelijk sprake van een veiligheidsincident, maar niet van een datalek. Het moet gaan om een inbreuk op:

  • de beschikbaarheid van persoonsgegevens (persoonsgegevens zijn onrechtmatig vernietigd);
  • de integriteit van persoonsgegevens (persoonsgegevens zijn onrechtmatig gewijzigd); of
  • de vertrouwelijkheid van persoonsgegevens (persoonsgegevens zijn onrechtmatig openbaar gemaakt).

Ook het tijdelijk niet beschikbaar kunnen hebben van persoonsgegevens kan worden aangemerkt als een datalek.2 Het moet echter wel gaan om een onrechtmatigheid. Zo is een gepland systeemonderhoud geen datalek.

Melding aan de Autoriteit Persoonsgegevens

Een datalek moet altijd aan de Autoriteit Persoonsgegevens (AP) worden gemeld, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.3 Om dit te bepalen kan worden gekeken naar:

  • de aard van het datalek;
  • de aard, gevoeligheid en omvang van de persoonsgegevens;
  • het gemak waarmee personen kunnen worden geïdentificeerd;
  • de ernst van de gevolgen voor de betrokkene;
  • bijzondere kenmerken van de betrokkene of verwerkingsverantwoordelijke.4

Indien een cruciaal ziekenhuissysteem gedurende twee uren niet beschikbaar is, levert dit een risico op voor de rechten en vrijheden van de betrokkenen. Zo kunnen bijvoorbeeld operaties worden uitgesteld en levens in gevaar worden gebracht. Dit dient dan ook te worden gemeld aan de AP. Indien een website van de lokale sportvereniging gedurende twee uur niet beschikbaar is, zal dit doorgaans niet snel een risico voor de rechten en vrijheden van de betrokkenen opleveren. Dit hoeft dan ook niet aan de AP te worden gemeld.

De verwerkingsverantwoordelijke moet het datalek, indien mogelijk, binnen 72 uur melden aan de AP. Om deze termijn te bepalen, moet worden gekeken naar het moment waarop de verwerkingsverantwoordelijke kan vaststellen dat er een mogelijkheid is dat er een datalek heeft plaatsgevonden. Indien een onversleutelde usb-stick met persoonsgegevens verloren is, kan snel worden geconcludeerd dat er sprake is van een datalek. In het geval dat een hacker is binnengedrongen in een computersysteem, is dit moment echter lastig vast te stellen. De nadruk moet echter liggen op het onmiddellijk overgaan tot actie om een incident te onderzoeken.

Mededeling aan de betrokkene

Indien een datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene, dan moet de verwerkingsverantwoordelijke het datalek zonder onredelijke vertraging melden aan de betrokkene.5 In deze melding moet een omschrijving in duidelijke en eenvoudige taal worden gemaakt van:

  • de aard van de inbreuk;
  • de naam en contactgegevens van de functionaris gegevensbescherming;
  • een beschrijving van de waarschijnlijke gevolgen van het datalek; en
  • een beschrijving van de maatregelen die genomen zijn om het datalek aan te pakken.6

De drempel voor het melden van een datalek aan de betrokkene ligt dus hoger dan die voor het melden van een datalek aan de AP. De betrokkene moet worden geïnformeerd over het datalek om de nodige voorzorgsmaatregelen kan treffen. De verwerkingsverantwoordelijke moet in beginsel rechtstreeks contact opnemen met de betrokkene, bijvoorbeeld via een e-mail.7

Register van datalekken

Indien er sprake is van een datalek, moet dit zonder meer worden vastgelegd in een intern register, ook als hier geen melding bij de AP van hoeft te worden gemaakt.8 Daarnaast is het vaak verstandig om ook veiligheidsincidenten in een dergelijk register vast te leggen. Met name voor managementsystemen voor informatieveiligheid en bepaalde certificeringstrajecten kan dit helpen om de informatieveiligheid te verbeteren.  

 
Neem vrijblijvend contact op
Heeft u hulp nodig bij een datalek of wilt u ervoor zorgen dat het risico op datalekken wordt beperkt? Neem dan vrijblijvend contact met ons op.

Voetnoten

  1. Artikel 4 AVG.
  2. WP 29, advies WP250, p. 9.
  3. Artikel 33 lid 1 AVG.
  4. WP 29, advies WP250, p. 27 - 30.
  5. Artikel 34 lid 1 AVG.
  6. Artikel 33 lid 3 AVG.
  7. WP 29, advies WP250, p. 24
  8. Artikel 33 lid 5 AVG.