Datalek; wat is het en wanneer moet je het melden?

Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra een ernstig datalek is ontdekt. Deze meldplicht geldt voor overheden en bedrijven. Soms moet een datalek niet alleen aan de Autoriteit Persoonsgegevens worden gemeld maar ook aan de personen van wie gegevens zijn gelekt. Met de verplichting tot het melden van datalekken wil de overheid bevorderen dat bedrijven en overheden zorgvuldig omgaan met persoonsgegevens. Ieder mens heeft immers recht op eerbiediging en bescherming van de persoonlijke levenssfeer.

Wat is een datalek?

Een datalek is een beveiligingsincident waarbij persoonsgegevens verloren zijn gegaan. Ook is sprake van een datalek wanneer weliswaar geen persoonsgegevens verloren zijn gegaan maar waar niet redelijkerwijs kan worden uitgesloten dat deze onrechtmatig zullen worden verwerkt.

Een persoonsgegeven is ieder gegeven m.b.t. een geïdentificeerde of te identificeren persoon. Iemand is identificeerbaar wanneer zonder veel inspanning kan worden vastgesteld om wie het gaat. Gegevens kunnen direct of indirect tot identificatie leiden. Directe identificerende gegevens zin die gegevens die zonder veel omwegen tot de identiteit van iemand leiden. Vaak is er dan sprake van een combinatie van verschillende gegevens zoals bv. naam, adres en geboortedatum. Wanneer meer stappen genomen moeten worden om de identiteit te achterhalen met de gelekte persoonsgegevens dan is sprake van indirect identificerende gegevens.

Wanneer moet een datalek worden gemeld?

Een datalek moet worden gemeld aan de Autoriteit Persoonsgegevens wanneer er een aanzienlijke kans is dat het datalek nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Daarnaast moeten de personen wier gegevens zijn gelekt ook geïnformeerd worden zodra het waarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer. De waarschijnlijkheid van nadelige gevolgen zal toenemen naarmate meer gegevens van dezelfde personen zijn gelekt en naarmate deze minder versleuteld zijn. Verder geldt dat naarmate de gelekte gegevens gevoeliger zijn dat sneller melding noodzakelijk is. Persoonsgegevens van gevoelige aard zijn o.a.:

• Gegevens over godsdienst, levensovertuiging, ras, politieke gezindheid, geaardheid, lidmaatschap van vakvereniging, en strafrechtelijke persoonsgegevens over onrechtmatig of hinderlijk gedrag i.v.m. een opgelegd verbod n.a.v. dat gedrag
• Gegevens over de financiële of economische situatie van de betrokkene
• Gegevens die kunnen leiden tot stigmatisering zoals gokverslaving, schoolprestaties, werk of relatieproblemen
• Gebruikersnamen, wachtwoorden en andere inloggegevens
• Gegevens die kunnen worden gebruikt voor identiteitsfraude zoals het burgerservicenummer en kopieën van identiteitsbewijzen

Wie is verantwoordelijk?

De verplichting om een datalek te melden rust bij de verantwoordelijke en niet bij degene die de gegevens verwerkt. De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer persoonsgegeven buiten het bedrijf bij een andere partij worden opgeslagen dan is die andere partij slechts verwerker. Het bedrijf dat de persoonsgegevens gebruikt blijft verantwoordelijk.

Ook wanneer slechts van één of enkele personen gevoelige persoonsgegevens zijn gelekt, is een melding verplicht.

De melding aan de betrokkene

Bij het lekken van gevoelige persoonsgegevens moet vrijwel altijd ook een melding aan de personen van wie gegevens zijn gelekt worden gedaan. Zijn er andere gegevens gelekt dan moet er een afweging worden gemaakt over de waarschijnlijkheid dat zij daar nadelige gevolgen van zullen ondervinden.

Het idee hierachter is dat wanneer je weet dat je gegevens zijn gelekt je zelf maatregelen kunt nemen ter voorkoming van verdere schade.

Gevolgen niet melden

De Autoriteit Persoonsgegevens kan een boete opleggen aan bedrijven en overheden die ten onrechte een datalek niet melden. In 2016 is de maximale boete € 820.000,-. Indien de overtreding op de regel om een datalek te melden niet opzettelijk is gepleegd en geen sprake is van ernstige verwijtbare nalatigheid dan volgt i.p.v. een boete een bindende aanwijzing.