Wat is een datalek?
Een datalek is een incident waarbij persoonsgegevens in handen komen of toegankelijk worden van onbevoegde personen of waarbij de gegevens verloren gaan. Belangrijk hierbij is dat het volgens de AVG echt om persoonsgegevens moet gaan, anders is er geen sprake van een datalek. Persoonsgegevens zijn kort gezegd alle gegevens die iets over een specifieke persoon zeggen of in combinatie met andere gegevens tot een persoon te herleiden zijn.
Meldplicht datalekken
De AVG verplicht je om sommige datalekken te melden. Dit is het geval als het om gevoelige gegevens als medische gegevens of politieke voorkeur gaat of bij een omvangrijke datalek van veel persoonsgegevens van meerdere categorieën. De procedure die jij of je medewerkers moeten volgen in zo’n geval, leg je neer in een Protocol Meldplicht Datalekken. Moet je een datalek melden, dan doe je dat binnen 72 uur bij de Autoriteit Persoonsgegevens (AP), de instantie die verantwoordelijk is voor de handhaving van de AVG. Heeft het datalek ongunstige gevolgen voor de personen van wie de data is gelekt, dan moet het ook aan hen melden.
21.000 datalekmeldingen in 2018
Een datalek is zo gebeurd. Zo heb je al een datalek als post of mail met persoonsgegevens bij de verkeerde persoon terechtkomt. Ook onopzettelijke of onbevoegde inzage in persoonsgegevens komt vaak voor. Vorig jaar kreeg de AP 21.000 meldingen van een datalek binnen, een verdubbeling ten opzichte van 2017. In de meeste gevallen ging het om het lekken van NAW-gegevens, BSN, medische gegevens en gegevens over geslacht. Het niet melden van een datalek kan vervelende gevolgen hebben. Zo legde de AP aan vervoersdienst Uber eind vorig jaar een boete op van € 600.000 omdat het bedrijf veel te laat een datalek had gemeld.
Oorzaken van datalekken
In veruit de meeste gevallen zijn datalekken het gevolg van een menselijke fout door gebrekkige afspraken of verkeerde procedures. In slechts een klein deel liggen de oorzaken bij ontbrekende of onvoldoende technische maatregelen tegen externe factoren als hackers en malware. Belangrijk is dus dat het formuleren en handhaven van een gedegen protocol melden datalekken binnen je organisatie de focus heeft.
Datalekken verplicht registreren
Hoewel je niet verplicht bent alle datalekken binnen je organisatie te melden, geldt wel de verplichting om alle datalekken te registreren. Je dient niet alleen de incidenten bij te houden, maar ook de gevolgen ervan. Om voor de AP aan te tonen welke maatregelen je hebt genomen in geval van een specifiek datalek, beschrijf je ook wat je hebt gedaan om het te corrigeren en herhaling te voorkomen. Al deze informatie leg je vast in een datalekregister.
Tips voor je eigen datalekregister
De vorm van het datalekregister is vrij. Je kunt hiervoor excel of een online tool gebruiken. Wel is het belangrijk dat bepaalde informatie daarin terugkomt. Let daarom op de volgende aandachtspunten:
- zorg ervoor dat je alle incidenten, gevolgen en corrigerende maatregelen duidelijk en volledig vastlegt
- maak duidelijk onderscheid tussen corrigerende en preventieve maatregelen
- leg corrigerende maatregelen altijd vast in het datalekregister
- voorkom versnippering van registraties binnen je organisatie door 1 overzichtelijke datalekregistratie te hanteren
- zorg ervoor dat elke medewerker op de hoogte is van je Protocol Meldplicht Datalekken zodat voor iedereen binnen je organisatie duidelijk is wanneer een geregistreerd datalek gemeld moet worden bij de AP
- neem per datalek op of de functionaris voor de gegevensbescherming betrokken was
- leg ook vast of een datalek gemeld is bij de AP en de reden als dat niet is gedaan
- leg vast of er andere organisaties zoals een verwerker betrokken zijn geweest bij een inbreuk
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.