3.2 Melding van datalekken
personeelsdossier
De Meldplicht datalekken is onderdeel van de WBP en geldt voor de overheid en voor organisaties. Als persoonsgegevens in handen vallen van mensen aan wie daarvoor geen toestemming is verleend, is dat een datalek. Verliest u dus een usb-stick met daarop gevoelige informatie over uw werknemers, dan is er sprake van een datalek. Ook een bestand met daarin gegevens over welke software werknemers gebruiken op welke apparaten, valt onder de Meldplicht datalekken. Zeker als het betreffende bestand informatie uit het personeelsdossier bevat, moet u er melding van maken als dat in verkeerde handen valt.
De personen van wie gegevens zijn gelekt, moeten hiervan meteen op de hoogte worden gesteld. Gaat het bijvoorbeeld om inloggegevens, dan kunnen zij deze snel wijzigen. Op tijd melden is dus een must.
beveiligingsprobleem
Een datalek is het gevolg van een beveiligingsprobleem. Meestal gaat het om uitgelekte documenten en bestanden, maar een gestolen geprinte lijst met namen van medewerkers die Excel gebruiken, is ook een datalek. Of u een datalek moet melden bij de Autoriteit Persoonsgegevens hangt af van de ernst van het datalek. Het melden van een datalek is alleen verplicht als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als er een aanzienlijke kans op nadelige gevolgen is.
Wanneer melding maken bij datalek?
biometrische gegevens
De volgende persoonsgegevens vallen onder de Meldplicht datalekken:
- bijzondere persoonsgegevens;
- gegevens over de financiële of economische situatie, zoals informatie over schulden, salaris en betalingen;
- gegevens die kunnen leiden tot stigmatisering of uitsluiting, bijvoorbeeld informatie over gokverslaving, prestaties op school of werk, en relatieproblemen;
- inloggegevens zoals gebruikersnamen en wachtwoorden;
- gegevens die kunnen worden misbruikt voor (identiteits)fraude, zoals biometrische gegevens, kopieën van identiteitsbewijzen of een burgerservicenummers (BSN).
Wat als ernstig wordt beschouwd, is een eigen afweging. U moet hierbij rekening houden met welke data zijn uitgelekt en hoeveel data er zijn uitgelekt. Het zoekraken van een bestand waarin staat wie van uw medewerkers aanwezig is bij het teamuitje zal niet snel aanleiding geven tot een melding bij de Autoriteit Persoonsgegevens, maar een lek bij een bank of verzekeraar moet wel doorgegeven worden.
Beveiliging
onbevoegden
nadelige gevolgen
Uw organisatie hoeft een datalek niet te melden als de gegevens zodanig beveiligd zijn dat onbevoegden er geen kennis van kunnen nemen, bijvoorbeeld door encryptie. Dit is het coderen van gegevens zodat ze onbruikbaar zijn voor derden. In dat geval heeft u de kans op nadelige gevolgen na een datalek zo klein mogelijk gemaakt. De gegevens zijn dan immers onleesbaar.
Een datalek op zichzelf is niet strafbaar. Uw organisatie is alleen strafbaar als u het datalek niet tijdig meldt bij toezichthouder Autoriteit Persoonsgegevens.
Formulier
inbreuk
Uw organisatie kan een datalek melden door middel van een formulier dat u kunt vinden op de website van de Autoriteit Persoonsgegevens. U moet hierbij het volgende doorgeven:
- de aard van de inbreuk;
- de instanties waar meer informatie over de inbreuk kan worden verkregen;
- de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken;
- een beschrijving van de geconstateerde en vermoedelijke gevolgen;
- de maatregelen die uw organisatie heeft getroffen of nog wil nemen om deze gevolgen te verhelpen.
Informeren
persoonlijke levenssfeer
In sommige gevallen moet u ook de betrokkenen (denk bijvoorbeeld aan uw medewerkers) informeren over het datalek. Dit hoeft alleen als de verwachting is dat het datalek ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Wanneer dit aan de orde is, is een eigen afweging. U kunt hierover advies vragen bij de Autoriteit Persoonsgegevens.
Boetes
bindende aanwijzing
Na melding bij de Autoriteit Persoonsgegevens kan de toezichthouder besluiten om een onderzoek naar uw organisatie in te stellen. Uit het onderzoek kan blijken dat uw organisatie inderdaad de WBP heeft overtreden. Als dit niet opzettelijk is gebeurd en er geen sprake is van ernstig verwijtbare nalatigheid, zal de Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen. De AP geeft dan aan welk gedrag u moet veranderen. U krijgt dus de kans om uw leven te beteren op beveiligingsgebied.
U blijft aansprakelijk in de keten
Nieuw in de WBP is de ketenaansprakelijkheid. Het bedrijf dat persoonsgegevens verzamelt, blijft verantwoordelijk, ook als data bijvoorbeeld worden verwerkt door een hosting provider, softwareleverancier, salarisverwerkingsbedrijf, accountant, et cetera. Wanneer een datalek plaatsvindt bij de bewerker, moet de organisatie zelf de melding en de afhandeling verzorgen.
Verwijtbaar nalatig
boete
Uw organisatie krijgt dus niet direct een boete als u kunt aantonen dat er bij het datalek geen sprake is van opzet of van verwijtbare nalatigheid. Mocht de bindende aanwijzing niet het gewenste effect hebben of er sprake zijn van verwijtbare nalatigheid, dan kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal € 820.000 voor het overtreden van de WBP.
Bewerkersovereenkomst
aansprakelijkheid
Een bewerkersovereenkomst is verplicht als u persoonsgegevens door een externe partij laat verwerken. Daarin staan harde afspraken over aansprakelijkheid, het melden van datalekken aan de opdrachtgever en welke andere partijen in de keten als bewerker van de persoonsgegevens gelden.
Met een bewerkersovereenkomst maakt u de kans op een datalek zo klein mogelijk. Op rendement.nl/mttools vindt u een voorbeeld van een bewerkersovereenkomst.