Datalekken

Het komt vaker voor dan je denkt: datalekken. Bij een datalek gaat het om vernietiging, verlies, wijziging, of het delen van persoonsgegevens zonder dat dat de bedoeling was. Datalekken komen in veel verschillen vormen voor. Wanneer je bijvoorbeeld je bedrijfstelefoon bent verloren, spreken we van een (potentieel) datalek. Maar het is weer geen datalek wanneer dit je privételefoon betreft. Wat een datalek nu precies is en hoe te handelen vertellen we je in deze blog.

Wat is een datalek?

We spreken van een datalek of inbreuk in verband met persoonsgegevens als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Ook is er sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt en er geen back-up is of wanneer persoonsgegevens ongewenst zijn vernietigd, gewijzigd of verstrekt. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.

Volgens de richtlijnen van de Europese Autoriteiten Persoonsgegevens valt er onderscheid te maken in drie soorten inbreuken:

1. Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn openbaar gemaakt of er is toegang geweest tot persoonsgegevens. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
2. Inbreuk op de integriteit: persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
3. Inbreuk op de beschikbaarheid: de organisatie waar het datalek is (geweest) kan niet meer bij de persoonsgegevens komen. Of de gegevens zijn vernietigd. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.

Voorbeelden datalekken

Zoals ook al in de introductie uitgelegd, kan een datalek veel verschillende vormen aannemen. Bijvoorbeeld een e-mail naar het verkeerde adres versturen, cyberaanvallen, gestolen laptops, niet-schoongemaakte laptops en verloren USB-sticks. Als een bedrijfstelefoon verloren raakt of gestolen wordt, is er mogelijk sprake van een datalek. Een zoekgeraakte privételefoon is in de regel geen datalek. Dit komt doordat de Algemene verordening gegevensbescherming (AVG) niet van toepassing is op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Dit kan anders zijn als de privételefoon ook zakelijke contactgegevens, e-mails e.d. bevat.

Zo meldde RTLnieuws dat het lange tijd kinderlijk eenvoudig was om toegang te krijgen tot het besloten deel van het Kadaster. Normaal gesproken hebben bijvoorbeeld notarissen en gerechtsdeurwaarders toegang tot informatie zoals volledige namen en woonadressen, maar door een lek kon iedereen erbij. De Autoriteit Persoonsgegevens heeft het Kadaster opgedragen om het ‘ernstige lek’ per direct te dichten om verder misbruik te voorkomen. De gevoelige informatie is goud waard voor criminelen en andere kwaadwillenden, bijvoorbeeld voor bedreiging, stalking en doxing. Er wordt ook illegaal gehandeld in deze gegevens.

Iedereen die een huis heeft gekocht, staat in het Kadaster. Het is een openbaar register met informatie over panden of percelen. Als burger kun je een adres invoeren en opzoeken hoeveel er voor een huis is betaald en wie de eigenaar is.

Maar het is ook mogelijk om andersom te zoeken: dus op naam. Je voert een naam in en krijgt het adres. Dit kan op een besloten deel van de site, veelal door mensen die daar toestemming voor krijgen, zoals makelaars, advocaten, notarissen en deurwaarders. En daar ging het mis, want wat bleek? Het was jarenlang ontzettend makkelijk om toegang te hebben tot het besloten deel van het Kadaster. Hiermee kunnen privégegevens van miljoenen Nederlanders worden opgezocht.

Een datalek en nu?

Het is goed om te weten dat een datalek iedere organisatie kan overkomen, maar het is belangrijk hoe er vervolgens gehandeld wordt binnen de organisatie. Door snel te handelen kunnen de gevolgen van het datalek voor de privacy van bijvoorbeeld de klanten worden beperkt.

Sommige datalekken zijn zo klein dat dit voor (bijna) geen schade zorgt. Andere datalekken daarentegen, hebben soms grote impact op veel mensen. Organisaties zijn verplicht om de schade zoveel mogelijk te beperken zodra zij op de hoogte zijn van het datalek. In sommige gevallen moeten de betrokkenen van een datalek (de mensen waarvan de persoonsgegevens zijn gelekt) van het datalek op de hoogte worden gesteld.

Het overzichtelijk krijgen van de situatie

Het is belangrijk om overzicht over de situatie te krijgen. Allereerst dient er vastgesteld te worden om wat voor soort datalek het gaat. Wanneer dat duidelijk is, kunnen volgens de AP de volgende vragen helpen om een verder overzicht op de situatie te krijgen:

• Wat is de oorzaak van het datalek?
• Wanneer is het datalek ontstaan? En is het datalek nog steeds gaande?
• Hoe lang na het ontstaan van het datalek is het ontdekt? En hoe is het ontdekt?
• Wat voor soort persoonsgegevens zijn gelekt? Bijvoorbeeld naam, adres, e-mailadres, creditcardgegevens en/of bijzondere persoonsgegevens.
• Hoeveel persoonsgegevens zijn er (bij benadering) gelekt? Om hoeveel personen gaat het?
• Om wat voor groepen mensen gaat het? Bijvoorbeeld klanten, werknemers, scholieren, patiënten, inwoners etc. Gaat het om kwetsbare groepen? Bijvoorbeeld kinderen, ouderen of mensen met een beperking.
• Hoeveel onbevoegden hadden of hebben bij benadering (mogelijk) toegang tot de gelekte persoonsgegevens?
• Heeft u zicht op wie die onbevoegden zijn? En is het waarschijnlijk dat de onbevoegden kwade bedoelingen hebben met de gegevens? Of gaat het om een bekende, betrouwbare ontvanger?
• Heeft uw organisatie vooraf maatregelen getroffen waardoor de gelekte persoonsgegevens (deels) ontoegankelijk zijn voor onbevoegden? Bijvoorbeeld omdat de gegevens versleuteld zijn?

Vervolgens is het van belang dat het datalek zo snel mogelijk wordt gestopt. Wanneer een e-mail bijvoorbeeld naar het verkeerde adres is verzonden, dien je hier zo snel mogelijk een e-mail achteraan te sturen dat die de persoon de e-mail niet mag openen en dient te verwijderen.

Meldplicht bij datalekken

Volgens de AVG is het in bepaalde gevallen verplicht om een datalek binnen 72 uur bij de AP te melden. Ook kan de verplichting bestaan dat het datalek bij de betrokkenen gemeld dient te worden. Dit hangt van verschillenden factoren af. Elk datalek moet worden gemeld bij de toezichthouder. Dit is alleen anders als het onwaarschijnlijk is dat er risico’s zijn voor de privacy van de betrokken personen. Het is niet van belang of de organisatie zich bevindt in de publieke of private sector.

Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Deze termijn is gerekend vanaf het moment dat de verantwoordelijke er kennis van heeft genomen. De melding aan de toezichthouder omvat in elk geval:

• De aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters, inclusief het geschatte aantal daarvan.
• Naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen.
• Een beschrijving van de waarschijnlijke gevolgen van de inbreuk.
• De maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken, waaronder de maatregelen ter beperking van de nadelige gevolgen.

Alle datalekken, ook lekken die niet bij de toezichthouder hoeven te worden gemeld, moeten worden geregistreerd in het datalekregister van de verantwoordelijke organisatie. Naast de informatie over het lek zelf en de genomen maatregelen moeten de overwegingen voor het wel of niet melden worden opgenomen.

Meldplicht aan de betrokkene

Artikel 34 van de AVG geeft aan dat een melding aan de betrokkenen niet verplicht is als de gelekte persoonsgegevens op de juiste wijze zijn versleuteld en daardoor voor onbevoegden onbegrijpelijk zijn geworden.

Een melding aan betrokkenen omvat in elk geval een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk, de naam en contactgegevens van de functionaris voor gegevensbescherming of een andere contactpersoon bij wie meer informatie over de inbreuk kan worden verkregen, de waarschijnlijke gevolgen van de inbreuk en de voorgestelde of genomen maatregelen om de inbreuk aan te pakken, waaronder maatregelen ter beperking van de negatieve gevolgen.

Boetes en maatregelen door Autoriteit Persoonsgegevens

Wanneer een ernstig datalek grote schade of impact heeft, kan de AP maatregelen en/of boetes opleggen. Denk hierbij aan het versterken van de beveiligingsmaatregelen. Daarnaast gaat de AP achterhalen hoe het datalek is ontstaan en of het datalek voorkomen had kunnen worden door de AVG na te leven. De AVG verplicht namelijk dat organisaties passende maatregelen nemen voor het beschermen van persoonsgegevens. Wanneer dit niet het geval is, mag de AP boetes opleggen.

Blijf up-to-date over privacyrecht en andere interessante informatie!

Bij Juristenblog.nl proberen we je zo volledig mogelijk te informeren over veel aspecten van het privacyrecht. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen over het privacyrecht in de gaten!