Er is veel te lezen over het feit dat bedrijven verplicht zijn datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Maar wat is nu een datalek en wanneer moet u nu als bedrijf daadwerkelijk een melding doen bij de AP?
De AP heeft op haar website een handreiking gepubliceerd waarin staat of een melding bij de AP moet plaatsvinden. Let op: alleen datalekken moeten gemeld worden bij de AP en dus geen beveiligingslekken.
Wat is een datalek:
Is er sprake van een inbreuk op de beveiliging?
Op grond van artikel 13 Wet bescherming persoonsgegevens (Wbp) is elke verantwoordelijke verplicht om passende technische en organisatorische maatregelen te treffen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
Om te kunnen spreken van een beveiligingsinbreuk dient zich echt een beveiligingsincident te hebben voorgedaan en de preventieve maatregelen die u eventueel getroffen heeft waren niet voldoende om het beveiligingsincident te voorkomen. Hierbij kan gedacht worden aan een fout in de software waardoor een derde kennis heeft kunnen nemen van gegevens van een ander, het verliezen van een USB stick of een brand in een datacentrum.
Zijn er bij de inbreuk persoonsgegevens verloren gegaan?
Het verloren gaan van persoonsgegevens houdt in dat u zelf de gegevens niet meer heeft. Indien deze situatie zich voordoet, is sprake van een datalek. Voor de vraag of er sprake is van een datalek is het niet relevant hoe de persoonsgegevens verloren zijn gegaan. Er wordt ook gesproken van een datalek in geval van een brand in een datacentrum en er geen actuele reservekopie beschikbaar is.
Is het redelijkerwijs uit te sluiten dat er persoonsgegevens onrechtmatig zijn verwerkt?
Wanneer gesproken wordt over onrechtmatige verwerking, gaat het over de aantasting van persoonsgegevens, onbevoegde kennisneming, wijziging, of verstrekking van persoonsgegevens.
Op het moment dat niet uitgesloten kan worden dat een van voormelde situaties zich heeft voorgedaan, moet de inbreuk worden gezien als een datalek.
Wanneer is er sprake van een datalek?
Niet elk datalek hoeft gemeld te worden. Wanneer sprake is van een ernstig datalek, dan dient dit lek bij de AP gemeld te worden. Deze melding dient binnen 72 uur plaats te vinden. De AP spreekt over een ernstig lek wanneer er gevoelige gegevens (kwalitatief ernstig) of heel veel gegevens (kwantitatief ernstig) zijn gelekt. Denk bij gevoelige gegevens aan financiële gegevens, kopieën van identiteitsbewijzen of bijvoorbeeld medische gegevens.
Wat te doen bij een beveiligingslek
Indien ‘slechts’ sprake is van een beveiligingslek, moet u voorkomen dat dit uitmondt in een beveiligingsinbreuk en daarmee een datalek. Er dienen dan ook passende technische en organisatorische maatregelen te worden getroffen. Of de beveiliging een passend niveau heeft bereikt is ter beoordeling van beveiligingsexperts aan de hand van professionele standaarden.
Kortom, niet elk lek is een datalek en moet worden gemeld aan de AP. Op het moment dat een lek wordt geconstateerd, doet u er goed aan om eerst aan de hand van het stappenplan van de AP vast te stellen over wat voor soort lek het gaat, waarna u actiepunten kunt gaan formuleren. JPR Advocaten is graag bereid u hierbij te ondersteunen.
Eva Lammers
Joke Schraagen
Marjolein Meijer