🔐 Wat is een datalek? Melden of niet? Wat zijn de sancties?
Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: AVG: Europese Privacyverordening | Bescherming persoonsgegevens | Verwerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer of Functionaris Gegevensbescherming | Doorgifte persoonsgegevens | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht

Meldplicht Datalekken AVG

Vooruitlopend op de AVG trad in Nederland de Wet Meldplicht Datalekken in werking op 1 januari 2016. De AVG heeft die wet in 2018 vervangen.
Bij een (ernstig) datalek is er sprake van overtreding van de AVG en kan de Autoriteit Persoonsgegevens een boete opleggen. De boetes kunnen oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, per overtreding.
Datalekken moeten -als ze voldoende ernstig zijn- onverwijld worden gemeld aan de toezichthouder, de Autoriteit Persoonsgegevens (AP)

Wat is een datalek?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Preciezer: een beveiligingsinbreuk waarbij persoonsgegevens verloren gaan of ongeoorloofd overhandigd, gezien of gewijzigd zijn. Een datalek is het gevolg van een beveiligingsprobleem. In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks.
Illegaal verkregen bedrijfsgegevens over een productieproces of marktstrategie betreffen kostbare informatie, maar vallen niet onder de gangbare definitie van datalek.

Als een bedrijfstelefoon verloren of gestolen wordt, dan is dat mogelijk een datalek. Als een privé-telefoon kwijtraakt is er geen datalek (de AVG is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden).

Zie ook: bescherming persoonsgegevens

Meldplicht datalekken Telecom


Excuus voor het datalek Sinds 2011 bestaat er een meldplicht voor aanbieders van openbare elektronische communicatiediensten van inbreuken op de beveiliging van persoonsgegevens (artikel 11.3a Telecommunicatiewet). Dit werd de smalle meldplicht genoemd ter onderscheid van de Wet Meldplicht Datalekken uit 2016 die de brede meldplicht werd genoemd.



Wat is het doel van de Meldplicht Datalekken?

De verplichtingen zijn van toepassing op de verwerkingsverantwoordelijke, niet op de verwerker. Het is aan een organisatie om te beoordelen of een datalek ernstig genoeg is. Voor de inschatting hiervan kan een Data Protection Officer hier goede diensten bewijzen.

Voorwaarden voor melding aan de AP

Een datalek moet gemeld worden bij de toezichthouder als er sprake is van een inbreuk op de beveiliging van persoonsgegevens. De inbreuk moet een aanmerkelijk risico opleveren tot nadelige gevolgen voor persoonsgegevens. De inbreuk leidt tot diefstal, verlies of misbruik van persoonsgegevens.
Het is niet van belang of de organisatie zich bevindt in de publieke of private sector.
Elke datalek moet -ook al die niet meldingsplichtig is- moet worden gelogd in een eigen datalekkenregister. Naast de informatie over het lek zelf en de genomen maatregelen moeten de overwegingen voor het wel of niet melden worden opgenomen.

Als het datalek waarschijnlijk een hoog risico inhoudt, moet de betrokkene geïnformeerd worden (art 34 AVG).

Er hoeft niet gemeld te worden als het niet gaat om persoonsgegevens van gevoelige aard en/of er geen sprake is van (de kans op) ernstig nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.

Wanneer is er sprake van inbreuk op de beveiliging?

Een inbreuk op de beveiliging hoeft niet te betekenen dat de beveiliging is tekortgeschoten. Denkbaar is dat de beveiliging op zich van voldoende niveau is, maar dat de beveiligingsmaatregelen worden omzeild. Voorbeelden: een hack van een ICT-systeem dat persoonsgegevens bevat en de diefstal van een laptop of mobiele telefoon uit een afgesloten kluisje.

Daarnaast kan de inbreuk op de beveiliging het gevolg zijn van een tekortschietende beveiliging. Dat is bijvoorbeeld het geval als bepaalde bestanden niet goed beveiligd zijn geweest of als er menselijke fouten zijn gemaakt. Voorbeelden: het slordig omgaan met wachtwoorden, papieren dossiers die als oud papier worden aangeboden, het kwijtraken van een USB-stick.

Op de genoemde situaties is de meldplicht van toepassing. Uitsluitend wanneer de getroffen voorzieningen niet specifiek bedoeld zijn voor de beveiliging van persoonsgegevens hoeft geen melding te worden gedaan. Voorbeeld: een gebouw dat afbrandt als gevolg van blikseminslag, waarbij persoonsgegevens verloren zijn gegaan.

Gegevens die niet beveiligd worden opgeslagen, zoals wachtwoorden, vormen geen datalek. Dat is pas het geval als de gegevens op straat liggen.
Niet adequaat beveiligde gegevens zijn wel strafbaar.

Inhoud van de datalekmelding aan de AP

Een datalek moet binnen 72 uur gemeld worden bij de toezichthouder. Deze termijn is gerekend vanaf het eerste moment dat het probleem gesignaleerd is, niet het tijdstip van bijvoorbeeld rapportage aan een verwerkingsverantwoordelijke of de juridische afdeling.
De melding aan de toezichthouder omvat in elk geval:

Melden datalek : meldloket datalekken

Wilt u als organisatie een datalek melden? De juiste plaats hiervoor is het Meldloket datalekken van Autoriteit Persoonsgegevens.
U krijgt een meldingsnummer aan het einde van de procedure. Met dit meldingsnummer kunt u de melding aanpassen of intrekken. Soms blijkt na nadere inventarisatie van de casus dat hij ernstiger is dan werd verondersteld, of dat er sprake was van vals alarm.
Als u de organisatie niet vertegenwoordigt of op persoonlijke titel een melding wilt doen om de aandacht van de AP te vestigen op een vermeend datalek, gebruik dan het tipformulier datalekken.

Melding aan de betrokken persoon

Excuses voor het datalekkage Artikel 34 van de AVG vermeldt dat een melding aan de betrokkene niet verplicht is als de gelekte persoonsgegevens juist zijn versleuteld.
Een melding aan een betrokkenen omvat in elk geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Een verloren usb-stick met persoonsgegevens die met de juiste encryptie is beveiligd hoeft niet gemeld te worden aan de betrokken personen (wel aan de Autoriteit Persoonsgegevens).

Sancties en boetebevoegdheid na datalekken

De toezichthouder (AP) mag een boete onmiddellijk opleggen als de overtreding opzettelijk is begaan. Andere mogelijkheden zijn o.a.:

Logboek met datalekken : datalekkenregister

Een organisatie heeft de plicht een logboek bij te houden van alle lekken, niet alleen de meldingsplichtige datalekken. In het datalekkenregister moet de informatie over het lek zelf worden opgenomen plus en de genomen maatregelen en de overwegingen voor het wel of niet melden. Dit logboek maakt onderdeel uit van de privacyboekhouding, net als het verwerkingsregister en de DPIA's.

Overige relevante meldplichten

Afspraken met leverancier

Het is voor bedrijven raadzaam om afspraken te maken met leveranciers over beveiligingsmaatregelen. Hiermee kan achteraf worden getoetst of de leverancier de verplichtingen is nagekomen.
Er zijn leveranciers die in hun voorwaarden vermelden dat ze niet, of beperkt, gehouden zijn aan beveiliging.
Ook zijn afspraken nodig over het melden aan de toezichthouder: het is de verwerkingsverantwoordelijke die de melding moet doen. Dat moet in ieder geval binnen 72 uur gebeuren.

Mogelijke extra kosten na datalekken

Als persoonsgegevens door een datalek of fout geopenbaard worden, kan daar schade uit voortvloeien voor de betrokkenen. De aansprakelijkheid voor die schade ligt bij de organisatie die de fout heeft gemaakt. Deze aansprakelijkheid is niet nieuw, maar door de meldplicht zullen fouten eerder bekend worden. Dat kan leiden tot meer schadeclaims van de personen die slachtoffer zijn geworden van een datalek.

Vernietiging van persoonsgegevens kan een datalek zijn

Als persoonsgegevens vernietigd worden dan kunnen ze niet in handen van derden vallen. Maar een onbedoelde vernietiging kan gevolgen hebben voor de betrokkenen. Om die reden kan er bij een vernietiging toch sprake zijn van een datalek.

Ransomware

Ransomware is een vorm van malware die bestanden blokkeert of versleutelt. Om weer toegang te krijgen tot de data moet een losprijs betaald worden.
Bij malware wordt verondersteld dat derden toegang tot computers en randapparatuur hebben gekregen. Dat betekent dat er sprake is van een datalek, tenzij uitgesloten kan worden dat er persoonsgegevens bij betrokken zijn.
Meer informatie: wat is ransomware?

Inbraak en datalek - clean desk policy

Wanneer er een fysieke inbraak is geweest en dossiers of ordners met gegevens over personen, cliënten of leden (mogelijk) zijn ingezien, kan er sprake zijn van een datalek. Dat is niet het geval als alle gegevens achter slot en grendel worden bewaard en de archiefkasten e.d. niet zijn opengebroken. Een clean desk policy kan dergelijke problemen voorkomen.

Wat te doen bij datalekken

Naast de verplichtingen omtrent het officieel melden aan de Autoriteit Persoonsgevens en eventueel aan de betrokkenen, zijn er praktische stappen te nemen:

Gevolgen bij niet-melden

Een instinctieve reactie is om een voorval van een datalek niet te melden. Dat is een struisvogelreactie. De overwegingen voor het niet-melden moeten worden opgenomen in het datalekregister.
Er bestaat een huivering om datalekken te melden, zeker bij twijfel. Doe juist bij twijfel wel een melding, het is mogelijk een melding in te trekken. Er zijn zelfs vraagtekens de plaatsen bij organisaties die zelden of een een melding van een datalek indienen. Zaken als verlies of diefstal van een telefoon of laptop komen immers regelmatig voor.

Ontdekken datalek door een gebruiker

Het is pijnlijk en kwalijk als een gebruiker door misbruik van zijn gegevens er achterkomt dat zijn gegevens bij een datalek betrokken zijn, en hij niet geinformeerd was over dat datalek.
Er zijn websites waar informatie over hacks verzameld wordt en waar een kopie van de betroffen data aanwezig is. Hier zijn loginnamen, e-mailadressen en domeinnamen te controleren op aanwezigheid in gehackte databases. Als een account of adres aangetroffen wordt dan is het belangrijk om het wachtwoord van dat account te wijzigen. Wanneer dat wachtwoord ook bij andere websites of diensten gebruikt wordt, moet het daar ook gewijzigd worden. Hackers speculeren erop dat wachtwoorden (en vaak ook account-namen) worden hergebruikt en zullen dit proberen uit te buiten.

Controleer misbruik bij Have I been pwned

Ethisch hacken - responsible disclosure - bug bounty's

Ethische hackers zoeken beveiligingsproblemen maar maken geen misbruik van gevonden fouten of datalekken. Ze melden problemen bij de verantwoordelijken, ze maken de fouten normaal gesproken niet openbaar.
Bedrijven die hiervoor openstaan, stellen een responsible disclosure (beleid) op. Ze vermelden op hun website hoe ze omgaan met gemelde fouten, hoe snel ze die oplossen. Een bedrijft nodigt hiermee hackers uit om fouten te zoeken en te melden zonder dat de hackers bang hoeven te zijn voor de gevolgen van het zoeken naar een lek. De hackers die hier op ingaan doen dit om hun kennis te vergroten en hun cv als ethisch hacker of consultant een boost te geven met een gevonden - en erkend - lek.
Grote techbedrijven kunnen premies beschikbaar stellen voor het vinden van fouten in hun systemen. Er zijn hackers die kunnen leven van het geld van deze bug bounty's.

Cloud shadow IT

Het gemak van tools als Dropbox, WeTransfer, fotobewerkers en pdf-converters is groot. Zulke tools zijn voor iedereen direct beschikbaar en bijna altijd gratis waardoor deze cloudapplicaties veel gebruikt worden. Ze worden meestal op individuele basis en ad-hoc ingezet en vallen buiten de formele inkoop- en IT-processen, met risico's op het gebied van beveiling. Bewustwording, beleid en monitoring zijn nodig om datalekken te voorkomen.