Wanneer moet u een datalek melden?
Wanneer moet u een datalek melden?
In januari 2020 zag ik op de site van de NOS een artikel waarin stond dat door 29 organisaties ‘mogelijke’ datalekken waren gemeld bij de Autoriteit Persoonsgegevens (hierna: de AP). Dit had te maken met de beveiligingsproblemen van de digitale werkomgeving Citrix. Naast dat dit natuurlijk heel vervelend is, viel mij nog iets op aan deze titel: het woord ‘mogelijke’. Dit woord impliceert immers dat de organisaties zelf niet (zeker) wisten of er sprake was van een datalek en voor de zekerheid een melding hebben gemaakt. Overigens lijkt dit ook te volgen uit het pas gepubliceerde rapport van de AP, met betrekking tot de gemelde datalekken in 2019. Nu is het beleid ‘better safe than sorry’ natuurlijk beter dan helemaal nooit een melding maken. Een relevante vraag is evenwel: weten organisaties én hun werknemers eigenlijk wel wat een datalek is en wanneer deze gemeld moet worden? Na enig rondvragen op enkele ‘overheidswerkvloeren’, kwam ik erachter dat er een hoop vraagtekens zijn rondom het begrip ‘datalek’ en wanneer er moet worden gemeld. Met mijn (volledige) bijdrage hoop ik dan ook deze vraagtekens grotendeels bij u weg te nemen en u te informeren over wanneer een datalek gemeld moet worden.
Want moet dan elk datalek, ook één zo alledaagse als het versturen van een brief naar een onjuist adres, dan altijd gemeld worden bij de AP? Opvallend is dat deze vraag in de ‘Handleiding Algemene Verordening Gegevensbescherming’ (hierna: de Handleiding) wordt beantwoord met ‘ja, tenzij’ en door de AP met ‘nee, tenzij’. Beide antwoorden komen overigens wel tot dezelfde conclusie: indien het datalek een risico vormt voor de rechten en vrijheden van de betrokkene(n), dan moet een datalek gemeld worden bij de AP. Wanneer het datalek een hoog risico vormt, dient ook de betrokkene erover te worden geïnformeerd.
Of het datalek een risico of zelfs een hoog risico vormt voor de betrokkene, dient de verwerkingsverantwoordelijke objectief te beoordelen. Zo is bijvoorbeeld sprake van een (hoog) risico indien de kans bestaat dat de betrokkene als gevolg van het datalek slachtoffer wordt van discriminatie, identiteitsfraude, financiële verliezen, reputatieschade etc. Hoe groot het risico is en of het risico zich voordoet, hangt af van de aard van de ‘gelekte’ gegevens en dient dan ook naar de omstandigheden van het geval te worden beoordeeld. Zelfs indien u heeft vastgesteld dat sprake is van een (hoog) risico, dan nog hoeft u niet in alle gevallen het datalek te melden bij de AP (en de betrokkene).
Bent u nu naar aanleiding van het lezen van bovenstaande nieuwsgierig geworden naar wanneer u geen melding hoeft te maken? Of wilt u nog meer weten over datalekken? Dan kunt u mijn volledige artikel lezen op: https://www.privacy-web.nl/artikelen/wanneer-moet-u-een-datalek-melden.
Kelvin Moenis, privacy-jurist bij Haute Equipe Partners in Public
Terug naar overzicht
