Een medewerker heeft persoonsgegevens per ongeluk doorgestuurd naar een verkeerd e-mailadres. Een collega rent naar een grote rode knop op de muur en roept gelijk: “je hebt een datalek veroorzaakt!” Er ontstaat paniek; het alarm gaat af. Alle deuren en ramen gaan op slot en een crisisteam van juristen komt binnen gestormd. Dit alles om een miljoenenboete van de Autoriteit Persoonsgegevens te voorkomen. In de praktijk gaat het natuurlijk anders, maar hoe zit het nu eigenlijk rondom het melden van datalekken tegenwoordig? In deze blogpost ga ik in op het melden van datalekken sinds de invoering van de nieuwe privacywet: de Algemene Verordening Gegevensbescherming.
De AVG
Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (hierna: AVG). Hierin staat dat datalekken gemeld moeten worden bij de Autoriteit Persoonsgegevens. Het niet melden van een datalek kan potentieel leiden tot hoge boetes. Door de komst van de AVG ligt het onderwerp privacy onder een vergrootglas en iedereen is zich opeens pijnlijk bewust van de regels. Echter is de plicht om een datalek te melden helemaal niet nieuw. Al vanaf 1 januari bestond namelijk de ‘meldplicht datalekken’ in Nederland en daarmee dus de verplichting om datalekken te melden bij de Autoriteit Persoonsgegevens. Met de komst van de AVG blijven de regels rondom het melden van een datalek grotendeels hetzelfde. Geen reden tot paniek dus. Maar hoe zit het dan?
Datalekken
Een datalek is een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Een hele mond vol. Het maakt hierbij niet uit of er opzet in het spel is. Dat in de praktijk al snel blijkt dat er dus sprake is van een datalek, blijkt wel uit het feit dat er in 2017 meer dan 10.000 datalekken zijn gemeld bij de Autoriteit persoonsgegevens! Toch blijft er speelruimte over om een datalek niet te melden.
Speelruimte
Ten eerste dient er daadwerkelijk een datalek te zijn geweest. Een beveiligingsincident waarbij preventieve maatregelen hebben voorkomen dat een datalek heeft plaatsgevonden, hoeft niet gemeld te worden. Ten tweede hoeft een datalek niet gemeld te worden als het waarschijnlijk is dat de datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In de praktijk kun je hierbij denken aan een usb-stick die vergeten wordt in de trein waar persoonsgegevens op staan, maar welke is beveiligd met encryptie. Hierdoor kan niemand zomaar bij de gegevens. Je spreekt dan wel van een beveiligingsincident, maar niet van een datalek. Het tweede voorbeeld is vaak moeilijker te identificeren in de praktijk. Hierbij kun je bijvoorbeeld denken aan een actiebon van een commerciële partij waar de naam van iemand opstaat welke naar de verkeerde persoon wordt gestuurd. Het risico dat dit leidt tot een inbreuk op de rechten en vrijheden van deze persoon zijn zo klein dat melding niet nodig is. Wel moet opgemerkt worden dat onder de AVG, anders dan onder de Meldplicht Datalekken, je alle incidenten en datalekken moet registreren. Ook als je deze niet hoeft te melden bij de Autoriteit Persoonsgegevens.
Conclusie
Met de komst van de AVG hoeft er geen paniek te ontstaan wat betreft het melden van datalekken. De regels omtrent het melden van datalekken zijn grofweg hetzelfde als onder de Meldplicht Datalekken. Een beveiligingsincident of datalek hoeft niet altijd gemeld te worden maar moet tegenwoordig wel altijd geregistreerd worden. Ben je een manager of directielid en heb je nog nooit gehoord van datalekken onder de AVG of de Meldplicht Datalekken? Dan kan dit twee dingen betekenen: een bijzonder goede bedrijfsvoering waarbij zich nooit datalekken voordoen, of de bedrijfsjurist moet eens stevig bij de lurven gepakt worden!