Datalek, een inbreuk in verband met persoonsgegevens

Met ingang van 1 januari 2016 is een wijziging van de Wet Bescherming Persoonsgegevens (WBP) in werking getreden die een meldplicht regelt voor datalekken. Deze meldplicht houdt in dat organisaties die persoonsgegevens verwerken een datalek moeten melden aan de Autoriteit Persoonsgegevens (AP). En in sommige gevallen ook aan de betrokkene(n), dit zijn de personen van wie de persoonsgegevens zijn gelekt. De AP kan een bestuurlijke boete opleggen die kan oplopen tot € 820.000

Algemene Verordening Gegevensbescherming (AVG)

Per 25 mei 2018 vervangt de nieuwe Europese Privacywet, de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet Bescherming Persoonsgegevens (WBP). De administratieve boetes in deze verordening zijn flink hoger en kunnen oplopen tot € 20.000.000 of 4% van de wereldwijde jaaromzet. Het is dus van belang om boetes (door datalekken) te voorkomen. Overigens is de term datalek in de AVG vervangen door “inbreuk in verband met persoonsgegevens”. Voor het gemak wordt de term “datalek” verder in dit artikel gebruikt.

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van, of gezien kunnen worden door derden die géén toegang tot die gegevens zouden mogen hebben. Er is ook sprake van een datalek als er persoonsgegevens kwijtraken of vernietigd worden, zonder dat er een back up van is. Persoonsgegevens zijn alle gegevens waarmee iemand identificeerbaar is. Bijvoorbeeld: naam en adresgegevens, BSN nummer, e-mail adres, geboortedatum, bankrekeningnummer.

Hoe ontstaat een datalek?

Een datalek is het gevolg van een beveiligingsprobleem. Uit onderzoek zal blijken of er daadwerkelijk sprake is van een datalek. In dit proces zijn de volgende fases:

1. Beveiligingslek

Dit is een zwakke plek in de beveiliging, een mogelijke inbreuk op de beveiliging. Hier maken hackers graag gebruik van.

2. Beveiligingsincident

Dit is een gebeurtenis waardoor mogelijk een datalek kan ontstaan. Er is dus nog niet geconstateerd dat er daadwerkelijk een datalek heeft plaatsgevonden. Enkele voorbeelden:

  • Een kwijtgeraakte/gestolen usb stick, smartphone, tablet of laptop.
  • Een inbraak door een hacker.
  • Een calamiteit in een datacentrum of server ruimte (bijvoorbeeld brand).
  • Het delen van een gebruikersnaam en wachtwoord met een collega.

3. Datalek

als blijkt dat er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of niet redelijkerwijs kan worden uitgesloten dat persoonsgegevens door onbevoegden zijn ingezien (=verwerkt). Voorbeelden zijn:

  • Een kwijtgeraakte/gestolen usb stick, smartphone, tablet of laptop waarbij
    • De toegang niet goed is beveiligd met een wachtwoord/ code.
    • Waarbij de toegang wel goed is geblokkeerd en dus niet toegankelijk, maar waarbij er geen back up is van de data op het device.
  • Een technische storing waarbij onbevoegden toegang hebben tot persoonsgegevens.
  • Het verstrekken van toegang tot persoonsgegevens aan niet-geautoriseerde personen. Uit een logbestand blijkt dat de niet geautoriseerde persoon inderdaad inzage heeft gehad in deze persoonsgegevens.
  • Een poststuk met daarin persoonsgegevens welke niet op de (juiste) eindbestemming is bezorgd.
  • Een hack waarbij data (bijvoorbeeld gebruikersnamen en wachtwoorden) zijn ontvreemd.
  • Informatie met persoonsgegevens op papier welke in de prullenbak is achtergelaten en door een derde (onbevoegde persoon) eruit is gehaald.
  • Een calamiteit in een datacentrum/serverruimte waarbij data verloren is gegaan en er géén recente back up is.
  • Een e-mail met daarin een bijlage met persoonsgegevens die aan een verkeerde persoon is verstuurd.
  • Verzending van e-mail waarin de e-mail adressen van alle geadresseerden zichtbaar zijn (dus niet in de BCC).
  • Een malware besmetting (als je op en hyperlink hebt geklikt in een phishing mail en deze niet tijdig hebt ontdekt en gemeld bij ICT).

Photo by Mateusz Dach from Pexels

Een datalek en hoe verder?

Van belang is dat je binnen je organisatie een procedure hebt ingericht hoe hiermee om te gaan. De AVG meldt hierover het volgende:

1. De verwerker licht de verwerkingsverantwoordelijke in

Indien het datalek bij de verwerker heeft plaatsgevonden, dan meldt de verwerker dit zonder onredelijke vertraging aan de verwerkingsverantwoordelijke.

2. De verwerkingsverantwoordelijke inventariseert het risico van het datalek

  • Als het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van de betrokken personen, dan hoeft de melding niet aan de AP te worden gemeld
  • Als het datalek wel een risico inhoudt voor de betrokkenen, dan meldt de verwerkingsverantwoordelijke dit uiterlijk binnen 72 uur aan de AP.
  • Indien het datalek ook een hoog risico voor inhoudt voor de betrokkenen, dan informeert de verwerkingsverantwoordelijke de betrokkene(n).

Procedure datalek

De melding bevat tenminste de volgende gegevens

  • Aard van het datalek.
  • Waar mogelijk de categorieën van betrokkenen en persoonsgegevensregisters in kwestie.
  • Bij benadering het aantal betrokkenen en persoonsgegevensregisters in kwestie.
  • Naam en contactgegevens van de Functionaris Gegevensbescherming of ander contactpersoon waar informatie kan worden verkregen.
  • Waarschijnlijke gevolgen van het datalek.
  • Voorgestelde of genomen maatregelen om het datalek aan te pakken c.q. ter beperking van eventuele nadelige gevolgen

Informatie mag zonder onredelijke vertraging in stappen worden verstrekt aan de AP.

Let op: de Telecommunicatiewet en de Wet op Financieel toezicht kennen eigen specifieke meldingsplichten. Het melden van een datalek bij de AP gaat via internet.

Documentatieplicht

De verwerkingsverantwoordelijke is verantwoordelijk om alle datalekken te documenteren. Deze documentatie omvat ten minste:

  • Feiten omtrent gemelde datalek.
  • Gevolgen.
  • Corrigerende maatregelen.

Voorkomen is beter dan genezen

Datalekken ontstaan dus niet alleen door hackers, maar worden ook door uw werknemers veroorzaakt. Vaak zijn het domme fouten en ondoordachte handelingen die een datalek als gevolg hebben. Door uw werknemers bewust om te leren gaan met (persoons-)gegevens beperkt u het risico op een datalek. Daarnaast ligt er een grote verantwoordelijke bij u als verwerkingsverantwoordelijke bij de afhandeling van datalekken, ook al heeft u bepaalde diensten uitbesteed aan derden (verwerkers).

Uw privacy adviseur on demand!

U kunt deze “Privacy Awareness” zelf overbrengen op uw medewerkers. U kunt hierbij ook mijn hulp inschakelen. Neemt u gerust contact met mij op.

Gerelateerde berichten

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Dit is een verplicht veld
Dit is een verplicht veld
Geef een geldig e-mailadres op.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.