Datalek en de AVG
26 april 2024
Recent is marktonderzoekbureau Blauw het slachtoffer geworden van een datalek, dat vanwege hun opdrachtgevers (zoals de NS, Vodafone, Ziggo en CZ) een grote impact had. Gegevens van zo’n 2 miljoen klanten waren getroffen in dit datalek. Eerder in het jaar was ook het spaarprogramma van KLM en Air France getroffen door een hack.
Dit soort nieuwsberichten laten zien dat het risico van een datalek niet weg te denken is bij de digitale bedrijfsvoering. Elk bedrijf kan een datalek meemaken, van grote multinationals tot eenmanszaken en het MKB. In deze blog leest u daarom wat een datalek is en wat uw bedrijf kan en moet doen in de afhandeling van datalekken.
Wanneer is er sprake van een datalek?
Bij een datalek worden persoonsgegevens verkregen, gewijzigd of verwijderd op een onbedoelde wijze. Het is in dat geval niet de bedoeling geweest dat iemand toegang had tot deze gegevens, er is dus sprake van een datalek. Een hack waardoor iemand toegang krijgt tot gegevens is de meest gevreesde gebeurtenis, maar het kan ook voorkomen dat iemand een bedrijfslaptop of USB-stick vergeet in een café. Een datalek hoeft niet altijd digitaal te zijn, zo kan ook een verloren tas met vertrouwelijke papieren resulteren in een datalek.
De wet spreekt in dit geval over een ‘inbreuk in verband met persoonsgegevens’.
Wat te doen bij een datalek?
Indien er sprake is van een (vermoedelijk) datalek is het noodzakelijk om vast te stellen welke gegevens er getroffen zijn en hoe het datalek heeft plaatsgevonden, zo weet u wat er is gebeurd en wat er mogelijk vrijgekomen is. Een datalekprotocol kan helpen door de stappen van een datalek afhandeling binnen uw bedrijf in kaart te brengen. In dit protocol wordt ook vastgelegd wie er binnen uw bedrijf verantwoordelijk is voor het afhandelen van datalekken en de bijbehorende taken die een datalek met zich mee brengen.
Een belangrijke stap in de afhandeling van elk datalek is het informeren van de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder op de Algemene verordening gegevensbescherming (AVG).
Bedrijven hebben een meldplicht als het gaat om datalekken indien het lek een risico vormt voor de rechten en vrijheden van personen, denk hierbij aan het recht op privacy. Elk datalek dat onder de meldplicht valt, moet binnen 72 uur na de eerste constatering gemeld worden bij de AP, anders riskeert uw bedrijf een boete van maximaal 10 miljoen euro of 2% van de wereldwijde omzet.
De website van de AP heeft een meldformulier voor datalekken, dit is de makkelijkste manier om datalekken te melden.
Inschatten van het risico
De overweging of een bedrijf het datalek meldt aan betrokkenen (personen getroffen door een datalek) wordt meestal overgelaten aan het bedrijf, tenzij er sprake is van een ‘hoog risico’. Bij een hoog risico is het melden van een datalek aan de betrokkene verplicht.
Een hoog risico ontstaat indien het datalek kan leiden tot fysieke, materiële of immateriële schade bij de betrokkene. Financiële, medische of andere gevoelige informatie kan leiden tot dit soort schade, zoals bijvoorbeeld misbruik van verkregen creditcardgegevens of oplichting. Onderneem daarom de juiste stappen richting de betrokkene om onnodige schade te voorkomen.
Verwerkt een bedrijf (veel) gevoelige persoonsgegevens? In dat geval wordt het streng aanbevolen (en soms verplicht) om een Data Privacy Impact Assessment (DPIA) uit te laten voeren, met dit assessment brengt het bedrijf mogelijke risico’s in kaart. Deze risico’s kunnen verminderd worden met passende technische of organisatorische maatregelen.
Tot slot
Hoewel een datalek niet te vermijden is, blijft het belangrijk om voorbereid zijn op de afhandeling en procedures bij elk datalek. Omdat tijd van essentieel belang is om de wettelijke verplichtingen van de AVG na te komen is het belangrijk om een datalekprotocol op te stellen voordat uw bedrijf getroffen wordt door een datalek.
Vragen
Voor vragen over de AVG en datalekken kan via de mail contact op worden genomen met SJAK. Wij zullen je dan proberen te helpen met het oplossen van het vraagstuk.