Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG), in 2018, kan de praktische uitvoering van deze privacywetgeving voor ondernemingen en overheden nog steeds lastig zijn. Belangrijke vragen die spelen zijn bijvoorbeeld: wanneer is er sprake van een datalek? Wat moet je doen in geval van een datalek? En: wat zijn de risico’s? In dit artikel gaan we daar verder op in.
Wanneer is er sprake van een datalek?
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is, door een schending van de beveiliging van deze gegevens. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens valt onder een datalek. Een datalek kan een kwantitatief ernstige overtreding zijn als het gaat om een grote hoeveelheid persoonsgegevens. Als het juist gaat om gevoelige gegevens, is er sprake van een kwalitatief ernstige overtreding. Denk hierbij bijvoorbeeld aan financiële gegevens, medische informatie of kopieën van identiteitsbewijzen.
Uit onderzoek van de Autoriteit Persoonsgegevens (AP) is gebleken dat het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger het meest voorkomende type datalek is. Daarna volgt het kwijtraken of de diefstal van een gegevensdrager (zoals een USB-stick, laptop of smartphone).
Wat te doen bij een datalek?
Als er sprake is van een datalek, is het verstandig om direct in actie te komen om de gevolgen (zoals boetes) zoveel mogelijk te beperken. Hieronder bespreken we drie belangrijke stappen die u moet doorlopen bij een datalek:
1. Melden bij de AP
Op grond van de AVG moet een datalek gemeld worden bij de Autoriteit Persoonsgegevens (AP) als het lek ernstige nadelige gevolgen heeft of kan hebben voor de rechten en vrijheden van de slachtoffers.
Twijfelt u of het datalek gemeld moet worden? Dan is het het beste om het zekere voor het onzekere te nemen en het datalek sowieso wél te melden. De termijn waarbinnen een datalek gemeld moet worden bij de AP is 72 uur na ontdekking.
Meer informatie over het melden van datalekken kunt u vinden via de volgende link:
Datalek: wel of niet melden | Autoriteit Persoonsgegevens
2. Informeer de betrokkenen
Als de risico’s van een datalek hoog zijn voor de slachtoffers (bijvoorbeeld omdat het lek kan leiden tot identiteitsfraude), dan moeten de slachtoffers hier zo snel mogelijk over geinformeerd worden. Het is belangrijk dat zij begrijpen wat er met hun gegevens is gebeurd en wat zij kunnen doen om zich te beschermen.
Waarover u de betrokkenen precies moet informeren kunt u in onderstaande link vinden:
Zo informeert u slachtoffers over een datalek | Autoriteit Persoonsgegevens
3. Datalek opnemen in eigen register datalekken
Ten slotte moeten datalekken worden opgenomen in een eigen datalekkenregister. Dat hoeft niet heel ingewikkeld te zijn: een Excel-sheet is voldoende. In dit register legt u alle datalekken vast die zich binnen uw organisatie hebben afgespeeld; inclusief de details, zoals de datum en omvang van de datalek en wat u eraan heeft gedaan. Ook de datalekken die niet aan de AP zijn gemeld, moet u in het register opnemen.
Risico’s van een datalek
Wordt een datalek ten onrechte niet gemeld bij de AP? Dan kan de AP een boete opleggen. Dit is ook het geval als een datalek niet in het dataregister wordt opgenomen of ten onrechte niet wordt gemeld aan de slachtoffers. In dit laatste gevan kan de AP ook verplichten de slachtoffers alsnog te informeren.
Deze boetes kunnen behoorlijk oplopen. Een boete is namelijk maximaal 20 miljoen euro of 4 procent van de (wereldwijde) jaaromzet van een onderneming. Hoe de AP de hoogte van boetes voor bedrijven bepaalt, is vastgelegd in de Fining guidelines van de The European Data Protection Board (EDPB). Deze kunt u via onderstaande link vinden:
Guidelines on the calculation of administrative fines (fining guidelines) | Autoriteit Persoonsgegevens
Het is dus belangrijk om de juiste maatregelen te treffen op gebied van de AVG om de (financiele) risico’s zoveel mogelijk te beperken. Onze experts kunnen u hierbij helpen.
Meer weten?
Neem dan contact op met Tim Küchler via tim@a2legal.nl.