ris-rijkschroeff-juristen
contact

Meldplicht datalekken

In 2016 zijn er bij de Autoriteit Persoonsgegevens ongeveer 5.500 meldingen gedaan van een datalek. Er gaat bijna geen week voorbij of er komen berichten in het nieuws over datalekken. In die gevallen gaat het altijd om grote organisaties uit de gezondheidszorg, de overheid of financiële dienstverleners. Een lek komt overduidelijk niet alleen voor bij grote organisaties. Maar wat is nu precies een datalek? Wanneer moet deze gemeld worden? En wat zijn de gevolgen als het lek niet wordt gemeld? Deze vragen worden in dit artikel beantwoordt.

Wat is een datalek?

De Autoriteit persoonsgegevens definieert een datalek als volgt: 

bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens”. 

In de praktijk zal dit bijna altijd neerkomen op het kwijtraken van USB-sticks, inbraak door een hacker of verlies of diefstal van laptops.

Wanneer moet een datalek gemeld worden?

Nu is het zo dat niet ieder lek ook daadwerkelijk hoeft te worden gemeld. Alleen de datalekken die leiden tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als het ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens moeten worden gemeld. 

Er kan van worden uitgegaan dat een melding noodzakelijk is wanneer er sprake is van gelekte persoonsgegevens die van gevoelige aard zijn. Hierbij moet onder andere worden gedacht aan bijzondere persoonsgegevens (godsdienst, seksuele geaardheid, ras e.a.), gegevens over de financiële of economische situatie van de betrokkene en inloggegevens.

Er zijn meer factoren die meespelen naar de aanleiding van het melden van een datalek. De hoeveelheid gelekte persoonsgegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt kunnen aanleiding zijn. Er moet wel gelet worden op het feit dat de aard van de gelekte gegevens alleen al aanleiding kunnen zijn dat een datalek gemeld moet worden.

Er zijn uitzonderingen op de meldplicht. De meldplicht uit de Wet bescherming persoonsgegevens is uiteraard niet van toepassing als de wet niet van toepassing is. De wet is niet van toepassing als er bijvoorbeeld alleen voor persoonlijke of huishoudelijke doeleinden persoonsgegevens worden verwerkt.

Een datalek melden

Op grond van de Wet bescherming persoonsgegevens moet degene die verantwoordelijk is voor het verwerken van persoonsgegevens de Autoriteit Persoonsgegevens en de betrokkene onverwijld op de hoogte stellen van de inbreuk op de beveiliging.

De verantwoordelijke is degene die het doel van en de middelen voor verwerking van persoonsgegevens vaststelt. Dit kan de organisatie zijn die de persoonsgegevens heeft verzameld (werkgever, forum, overheidsinstelling etc.), maar ook een andere organisatie die de opdracht heeft gekregen om de persoonsgegevens te verwerken. 

Wanneer een lek aan de Autoriteit Persoonsgegevens gemeld moet worden betekent dit niet direct dat de lek ook moet worden gemeld aan de betrokkene. Een lek moet aan betrokkene worden gemeld wanneer er sprake is van waarschijnlijke ongunstige gevolgen voor zijn persoonlijke levenssfeer. Hierbij moet onder andere worden gedacht aan discriminatie of uitsluiting, aantasting in de eer en goede naam en fraude. Er kan van uit worden gegaan dat wanneer er persoonsgegevens van gevoelige aard zijn gelekt dat de betrokkene ook moet worden ingelicht. 

Als er passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens onbegrijpelijk of ontoegankelijk zijn, dan hoeft de betrokkene niet op de hoogte te worden gebracht. Hier kan sprake van zijn wanneer de gegevens bijvoorbeeld zijn bewerkt met een encryptie.

De gevolgen wanneer een datalek niet is gemeld

De Autoriteit Persoonsgegevens kan bij een overtreding van de meldplicht een bestuurlijke boete opleggen. De boete kan maximaal een hoogte hebben van €820.000 of 10% van de netto jaaromzet. Het kan zijn dat het lek niet opzettelijk is gepleegd en er ook geen sprake van een ernstig verwijtbare nalatigheid, in dat geval kan de Autoriteit Persoonsgegevens een bindende aanwijzing opleggen voordat zij een boete oplegt.

Mocht u nadere informatie willen over dit onderwerp of een afspraak willen maken dan kunt u contact opnemen via het telefoonnummer 020 - 491 78 01 of u kunt een email sturen naar info@ris-rijkschroeff.nl.