6 november 2017

AVG: De meldplicht bij datalekken

Data met open slotje

Vanaf 25 mei 2018 moeten alle bedrijven in Europa voldoen aan de eisen van de nieuwe privacywet, de Algemene verordening gegevensbescherming (AVG). Hierin is ook een vernieuwde verplichting opgenomen om datalekken te melden. In dit artikel bespreken we wat een datalek is en wanneer een organisatie een dergelijk lek precies moet melden.

Op dit moment zijn de regels hiervoor vastgelegd in de Wet bescherming persoonsgegevens (Wbp). Hieronder moet een datalek aan de Autoriteit Persoonsgegevens (AP) worden gemeld als het leidt (of kan leiden) tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Hierbij moet worden gekeken naar de aard van de persoonsgegevens, maar ook naar andere factoren, zoals de hoeveelheid gegevens per persoon of het aantal betrokkenen van wie er persoonsgegevens zijn gelekt. Onder de AVG komt dit te veranderen.

Wanneer is er sprake van een datalek?

We spreken van een datalek bij het (onbedoeld) verliezen, wijzigen, vernietigen of toegankelijk worden van persoonsgegevens. Hiermee wordt de informatie waarmee je iemand hebt geïdentificeerd of kunt identificeren bedoeld. Bij een datalek zijn de persoonsgegevens vrijgekomen of onrechtmatig verwerkt terwijl beveiligingsmaatregelen bescherming hadden moeten bieden. Er is alleen sprake van een datalek als er zich daadwerkelijk een incident heeft voorgedaan of als de persoonsgegevens in handen van derden (kunnen) zijn gevallen.

Er zijn veel verschillende voorbeelden van datalekken bij een webshop:

  • Je raakt een usb-stick met persoonsgegevens kwijt.
  • De laptop van een van je medewerkers wordt gestolen.
  • Een van de servers waar je je persoonsgegevens opslaat, raakt besmet met malware.
  • Een hacker breekt in in een van je servers.

Maar ook als er bijvoorbeeld iets misgaat met de postbezorging en persoonsgegevens in verkeerde handen belanden, is er sprake van een datalek. Dit geldt ook voor het verzenden van e-mail, bijvoorbeeld als er persoonsgegevens bij een verkeerd geadresseerde terechtkomen of in de cc naar een zeer grote groep worden gestuurd. Toch is er niet bij ieder (beveiligings)incident gelijk sprake van een datalek. Als er alleen een zwakke plek in de beveiliging wordt gevonden, wordt dit een beveiligingslek genoemd en niet een datalek.

Wanneer moet ik een datalek melden bij de AP?

Onder de AVG worden de eisen voor het melden van een datalek strenger dan nu onder de Wbp het geval is. Als je als verwerkingsverantwoordelijke erachter komt dat er een datalek heeft plaatsgevonden, moet je dit (voor zover mogelijk) binnen 72 uur aan de AP melden. Deze termijn begint te lopen zodra je kennis hebt genomen van het datalek. Als het niet mogelijk is om binnen deze termijn aan je meldplicht bij de toezichthouder te voldoen, dien je zo spoedig mogelijk met een toelichting te komen waarom dit niet is gebeurd. Als het overigens niet waarschijnlijk is dat de inbreuk op de persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, dan hoef je het niet aan de toezichthouder te melden.

De melding bij de toezichthouder moet in ieder geval de onderstaande omschrijvingen bevatten. Als het niet mogelijk is om deze informatie in één keer over te dragen, dan mag dit ook in delen gebeuren:

  • Het type inbreuk op de persoonsgegevens dat heeft plaatsgevonden. Als het mogelijk is, dienen hierbij de categorieën van personen en de registers waar zij in voorkomen te worden gespecificeerd.
  • Indien mogelijk, de hoeveelheid persoonsgegevens waar het bij de inbreuk om gaat.
  • Het aantal betrokkenen en persoonsgegevensregisters in kwestie (eventueel bij benadering).
  • De naam en contactgegevens van je Data Protection Officer (DPO) of een ander contactpunt binnen je organisatie bij wie de toezichthouder meer informatie kan verkrijgen.
  • De waarschijnlijke gevolgen van de inbreuk.
  • De maatregelen die je als webshop hebt voorgesteld of genomen om de oorzaak aan te pakken, waaronder de maatregelen die je hebt genomen om de gevolgen van de inbreuk te beperken.

Wanneer moet ik een datalek melden bij consumenten of andere betrokkenen?

Consumenten en andere betrokkenen moeten worden geïnformeerd over een datalek als dit waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van deze personen. Dit dient zo snel mogelijk te gebeuren nadat de (waarschijnlijke) inbreuk bekend is geworden, met inachtneming van de door de toezichthouder aangeleverde richtsnoeren.

Als er een onmiddellijk risico op schade ontstaat, moet een datalek meteen aan consumenten of andere betrokkenen worden gemeld. Toch kan een langere kennisgevingstermijn gerechtvaardigd zijn als er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken op persoonsgegevens. De consument of een andere betrokkene mag in het eerste geval direct de nodige voorzorgsmaatregelen treffen om eventuele schade te beperken of voorkomen. De mededeling aan de consument of andere betrokkenen moet zowel de aard van de inbreuk bevatten als eventuele teksten over hoe zij de negatieve gevolgen zoveel mogelijk kunnen beperken.

Ten opzichte van de Wbp is er in de AVG een belangrijke verplichting voor ondernemers met betrekking tot het melden van datalekken opgenomen. Als webwinkelier ben je straks verplicht om alle inbreuken te documenteren, inclusief alle feiten omtrent de inbreuk, de gevolgen van de inbreuk en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat om de naleving van de eisen uit de AVG te controleren. Het kan hierbij handig zijn dat de datalekken schriftelijk worden vastgelegd in een intern register en dat je een intern dataprotocol opstelt.

De Thuiswinkel Privacytool helpt je verder

Om je te helpen bij het voldoen aan bovenstaande verplichtingen heeft Thuiswinkel.org in samenwerking met ICTRecht en PrivacyBlox de Thuiswinkel Privacytool ontwikkeld. Dit gratis hulpmiddel is exclusief voor leden en helpt hen bij het zelfstandig kunnen toepassen van de nieuwe wetgeving.

De Thuiswinkel Privacytool bevat een hulpmiddel waarmee aan de hand van het invullen van vragen kan worden bepaald of een datalek dient te worden gemeld aan de AP en/of betrokkenen. Daarnaast kun je in de tool via een register je datalekken en het bijbehorende protocol vastleggen. Naast deze ondersteuning bij datalekken helpt de Thuiswinkel Privacytool bijvoorbeeld ook bij het opzetten en bijhouden van een verwerkingsregister en bij het opstellen van een privacyverklaring. Lees hier meer over de Thuiswinkel Privacytool.

Vincent RomvielMeer weten?

 Wil je meer informatie over de meldplicht voor datalekken, de Thuiswinkel Privacytool of andere privacygerelateerde onderwerpen? Neem dan contact op met Vincent Romviel (), jurist bij Thuiswinkel.org.