CYBER: Eerste hulp bij datalekken

Rosalie Brand, advocaat bij Kennedy van der Laan, heeft een blog geschreven over de meldplicht datalekken. De wet kent een plicht om een datalek binnen 72 uur te melden. Maar wat is die meldplicht datalekken precies, hoe weet u óf u moet melden en aan wie meldt u dan?

Of het nou een crimineel is die digitaal jouw gegevens gijzelt met ransomware, of een werknemer die onzorgvuldig is, zoals die keer dat een ziekenhuismedewerker een papiertje met medische gegevens als boodschappenlijstje gebruikte en per abuis in de supermarkt liet slingeren: data kan op verschillende manieren op straat komen te liggen. En dan is actie én spoed geboden, want de wet kent een plicht om een datalek binnen 72 uur te melden. Maar wat is die meldplicht datalekken precies, hoe weet u óf u moet melden en aan wie meldt u dan?


Allereerst de vraag: wat is die meldplicht datalekken precies? De meldplicht datalekken is neergelegd in de Algemene verordening gegevensbescherming (AVG) en bestaat uit twee verplichtingen. De eerste verplichting is het melden van het datalek aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). Die melding moet binnen 72 uur nadat de verantwoordelijke onderneming met het datalek bekend is geworden. De tweede verplichting is het melden aan de mensen waarvan de persoonsgegevens zijn gelekt (de betrokkenen). Het melden aan de betrokkenen moet onverwijld, dus zo snel mogelijk, maar kent geen specifieke wettelijke termijn zoals de melding aan de AP.  

De meldplicht bestaat dus bij een datalek. Dan is de logische vervolg vraag: wat is een datalek en moet die altijd worden gemeld? De AVG spreekt van een datalek in het geval van ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’. Een redelijk abstracte juridische toets dus en niet altijd even makkelijk te maken. Hieraan voegt u toe de beoordeling in hoeverre het ‘waarschijnlijk’ is dat het datalek ‘een risico oplevert voor de rechten en vrijheden van betrokkenen’, om te bepalen of de hierboven beschreven meldplichten op u van toepassing zijn. Deze risico-inschatting moet u zelf maken aan de hand van verschillende factoren. Hoeveel persoonsgegevens zijn er gewist, gewijzigd of gelekt? Hoe gevoelig zijn de gelekte persoonsgegevens? Betreft het gegevens van kwetsbare personen, zoals kinderen of minderheden? Om bij deze analyse te helpen heeft Kennedy Van der Laan de Datalek Tool ontwikkeld. Deze tool helpt u aan de hand van verschillende vragen te beoordelen of u te maken heeft met een datalek en of u het datalek moet melden.  
 
Naast de wettelijke meldplichten bij een datalek, is het goed te realiseren dat u mogelijk andere verplichtingen heeft. Zo kan het zijn dat uw onderneming (tevens) persoonsgegevens verwerkt voor uw klanten, bijvoorbeeld als u hosting diensten of software  aanbiedt. U moet dan het datalek melden bij de organisatie voor wie u de persoonsgegevens verwerkt. Vaak is ook deze meldplicht aan een termijn gebonden en is het u als verwerker contractueel niet toegestaan om op eigen initiatief het datalek te melden bij de AP of de betrokkenen. Het is verstandig om op dit punt juridisch advies in te winnen, in aanvullen op de ondersteuning van uw IT-deskundige en eventuele communicatie-expert.
 
Een laatste belangrijke punt, zij het misschien een open deur: zorg dat uw werknemers zorgvuldig omgaan met de data binnen uw onderneming. Immers, voorkomen is beter dan genezen en een tool die beschermt tegen het gebruik van gevoelige documenten als boodschappenlijstje zal voorlopig niet op de markt komen!