Een paar weken geleden stroomde iedereens mailbox vol met e-mails naar aanleiding van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’). Dat uitzendbureau waar je een paar jaar terug voor gewerkt hebt, je verzekering, Marktplaats, allemaal zijn ze in het bezit van bepaalde persoonsgegevens. Dat maakte mij nieuwsgierig: wat als deze data lekt? Kom je daar zelf ooit achter? Er geldt tenslotte de meldplicht datalekken.
De AVG, wat is het ook alweer?
Sinds 25 mei 2018 is de AVG van toepassing. Dit is een verordening die voor iedereen binnen de Europese Unie geldt. Deze verordening zorgt onder andere voor meer en verbeterde privacyrechten voor betrokkenen, meer verantwoordelijkheid voor organisaties en dezelfde stevige bevoegdheden voor alle Europese privacytoezichthouders (bijvoorbeeld opleggen van boetes). Voor meer informatie over de AVG, en wat deze in de praktijk betekent, lees deze blog of deze.
Meldplicht datalekken
De meldplicht datalekken geldt al vanaf 2016. Onder de AVG blijft de meldplicht datalekken bestaan. De AVG stelt wel strengere eisen aan de registratie van datalekken in een organisatie. Zo dienen organisaties een datalekkenregister op te stellen waarin elk datalek geregistreerd wordt, ongeacht of dit datalek gemeld moeten worden aan de AP of aan de betrokkene(n). Of een datalek gemeld moet worden bij de AP op betrokkene(n), hangt af van de mogelijke gevolgen die het datalek heeft op de bescherming van persoonsgegevens en de persoonlijke leefsfeer van de betrokkenen.
Datalek
De term datalek komt niet in de AVG voor. In de AVG wordt er gesproken over ‘inbreuk in verband met persoonsgegevens’. Maar wat is dat nu eigenlijk precies? Een inbreuk in verband met persoonsgegevens is in art. 4 punt 12 AVG omschreven als een inbreuk in de beveiliging, waardoor er per ongeluk of onwettelijk persoonsgegevens worden vernietigd, kwijtgeraakt, gewijzigd, geopenbaard of toegankelijk worden gemaakt. Te denken valt aan een medewerker die een USB-stick met niet-versleutelde persoonsgegevens kwijtraakt, waardoor anderen mogelijk toegang hebben tot de gegevens op die stick. Wanneer dezelfde USB-stick kapot zou gaan en dit het enige exemplaar is waar de persoonsgegevens opstaan, is er ook sprake van een datalek. De data is dan namelijk vernietigd.
Melden bij de AP
Er is al eerder vermeld dat niet elk datalek gemeld moet worden bij de AP. Maar wanneer moet het datalek nou gemeld worden? Een datalek moet gemeld worden als het datalek leidt tot een risico voor de rechten en vrijheden van de betrokkene(n). De Europese Privacytoezichthouders hebben de Guidelines on Personal data breach notification opgesteld die organisaties kunnen raadplegen om te bepalen of zij het datalek moeten melden aan de AP. Deze guideline is hier te vinden. Kort gezegd komt het erop neer dat het datalek niet gemeld hoeft te worden als het onwaarschijnlijk is dat het datalek leidt tot risico’s voor de rechten en vrijheden van de betrokkene(n). Denk bijvoorbeeld aan een laptop van een medewerker die verloren raakt, maar die voldoende beveiligd is. De laptop bevatte ook niet de enige kopie van de gegevens. In dit geval is het risico dus laag dat iemand toegang zal krijgen tot de data. Daarnaast heeft de organisatie zelf wel nog steeds toegang tot de gegevens, ze zijn dus niet kwijtgeraakt. Als het datalek aan de AP gemeld dient te worden, moet dit binnen 72 uur, vanaf het moment dat het lek is ontdekt, gemeld worden bij de AP.
Melden bij betrokkenen
Dat een datalek gemeld wordt bij de AP, betekent nog niet dat je als betrokkene op de hoogte wordt gesteld van het datalek. Het datalek dient gemeld te worden bij betrokkene(n) wanneer het datalek een hoog risico voor de rechten en vrijheden van de betrokkene(n) met zich meebrengt. Deze drempel ligt hoger dan voor de meldplicht datalekken bij de AP. De organisatie moet kijken of het datalek onder andere kan leiden tot fysieke, materiële, of immateriële schade voor de betrokkene(n). Zoals discriminatie, (identiteits-)fraude, financiële schade en reputatieschade. In sommige gevallen mag een organisatie de melding aan betrokkene(n) achterwege laten. In welke gevallen dit mag is hier te vinden. Als het individueel informeren van de betrokkene(n) onevenredige inspanning vereist van de organisatie mag de melding ook openbaar gedaan worden of via een andere weg waarbij betrokkenen even doeltreffend worden geïnformeerd. Als een datalek wel gemeld dient te worden bij de AP maar niet aan betrokkene(n), moet de organisatie in de melding aan de AP aangeven dat het datalek niet gemeld wordt aan betrokkene(n) en moet dit beargumenteren.
Hoge risico’s
Het is alleen best moeilijk te bepalen wanneer er wel of juist geen sprake is van een ‘hoog risico’. Een voorbeeld helpt. Stel, de persoon die ten onrechte toegang heeft gekregen tot data, is meteen geïdentificeerd en er zijn meteen acties ondernomen voordat deze persoon iets met de data heeft kunnen doen. In dit geval is het risico van het datalek niet hoog te noemen, en zal jij als betrokken persoon dus niet op de hoogte worden gebracht van het feit dat er ooit iets raars is gebeurd met jouw persoonsgegeven.
Onevenredige inspanning
Nog zo’n lastige: wanneer kost het een organisatie ‘onevenredige inspanning’, en hoef jij dus niet persoonlijk op de hoogte te worden gebracht van het datalek? Ook hiervoor helpt een voorbeeld. Denk aan een overstroomd archief waar alle contactgegevens op papier stonden. Jouw contactgegevens zijn niet meer te achterhalen, dus het is niet mogelijk jou persoonlijk op de hoogte te brengen. In zo’n geval kan een organisatie een algemene aankondiging doen over het datalek.
Je data is gelekt, kom je er ooit achter?
Wanneer er een datalek plaatsvindt met betrekking tot persoonsgegevens zal de organisatie op basis van het risico wat het lek met zich meebrengt verplicht zijn dit lek te melden aan de AP en mogelijk ook de betrokken personen. Het kan lastig zijn om deze risico’s in te schatten. Zie voor meer informatie en voorbeelden de Guidelines on personal data breach notification. Of jij er dus ooit achterkomt of jouw data is gelekt? Kort gezegd: alleen als het datalek een hoog risico voor jouw rechten en vrijheden met zich meebrengt. Tot slot is het nog belangrijk om te onthouden dat je als organisatie wel elk datalek dient te registreren, ongeacht of het datalek gemeld moet worden bij de AP en/of betrokkenen.