AVG - Inbreuk op persoonsgegevens

Uit de statistieken van de Autoriteit Persoonsgegevens blijkt dat er in 2019 bijna 27.000 datalekken zijn gemeld. Dit is een stijging van 29% ten opzichte van 2018. Daarnaast blijkt uit de cijfers dat Nederland op nummer drie staat van landen waar de meeste datalekken worden gemeld, net achter Duitsland en Verenigd Koninkrijk. In dit blog zal besproken worden wat een datalek is, wat het protocol is ingeval een datalek zich voordoet, wanneer een melding gemaakt moet worden bij de Autoriteit Persoonsgegevens en wanneer een melding gemaakt moet worden aan de betrokkenen.

Wat is een datalek?

Een datalek (ook wel inbreuk in verband met persoonsgegevens), wordt in de AVG gedefinieerd als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. Met andere woorden houdt dit in dat indien persoonsgegevens per ongeluk of niet wettelijk vernietigd, gewijzigd of verstrekt worden aan een ander, dit als een inbreuk in verband met persoonsgegevens gecategoriseerd kan worden. Hoewel organisaties veel kunnen doen om datalekken te voorkomen, moeten de organisaties alsnog voorbereid zijn voor het geval dat een inbreuk op persoonsgegevens plaats vindt.

Protocol bij een datalek

Om een grip op de inbreuk te hebben, wordt geadviseerd om ten alle tijden een protocol voorbereid te hebben ingeval een inbreuk plaats vindt. De Autoriteit Persoonsgegevens heeft een stappenplan gemaakt die de belangrijkste handelingen doorneemt voor organisaties ter voorbereiding op een inbreuk. De eerste stap is om overzicht op het datalek te creëren. Hierbij staan vragen centraal zoals: wat is de omvang van het datalek, gaat het om gelekte persoonsgegevens? Zo ja, wie heeft er mogelijk onbevoegd toegang tot de data? Stap twee stelt dat de organisatie aan de hand van het overzicht, moet bepalen of er maatregelen genomen kunnen worden om de schade te beperken. Bij stap drie is het van belang om de ernst van het datalek te categoriseren en bepalen of het datalek gemeld moet worden bij de Autoriteit Persoonsgegevens. Daarnaast moet er in stap vier beoordeeld worden of het datalek ernstig genoeg is om dit aan de betrokkenen te melden. Tot slot wordt in stap vijf aangegeven dat het datalek geregistreerd moet worden in het verplichte datalekregister.

Meldplicht aan de Autoriteit Persoonsgegevens

De AVG stelt dat indien er een datalek heeft plaatsgevonden, dit zonder vertraging en indien mogelijk uiterlijk binnen 72 uur nadat er kennis van is genomen, gemeld moet worden aan de Autoriteit Persoonsgegevens. Indien dit niet binnen de 72 uur gemeld kan worden, moet er een motivering voor de vertraging geleverd worden. Daarnaast stelt de wet dat het datalek niet gemeld hoeft te worden indien het niet waarschijnlijk is dat er risico aanwezig is voor de rechten en vrijheden van de betrokkenen. De waarschijnlijkheid van de risico moet worden beoordeeld aan de hand omstandigheden van het geval.

Het datalek kan gemeld worden bij het meldloket datalekken van de Autoriteit Persoonsgegevens. De organisatie kan de vragen van de AP digitaal beantwoorden. Deze vragen voldoen aan de wettelijke vereisten van de inhoud van een datalekmelding. Het is namelijk wettelijk verplicht dat er in de melding wordt opgenomen: de aard van de inbreuk, vermelding categorieën persoonsgegevens, aantal betrokkenen, contact gegevens privacy contactpunt binnen de organisaties, waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn getroffen om de inbreuk aan te pakken. Deze vragen worden ook bij het meldloket van de AP gesteld.

Meldplicht aan de betrokkenen

Naast de meldplicht aan de Autoriteit Persoonsgegevens, stelt de AVG dat ingeval een inbreuk op persoonsgegevens, dit mogelijk ook gemeld moet worden aan de betrokkenen. Hierbij stelt de wet dat indien er een inbreuk op persoonsgegevens heeft plaatsgevonden dat waarschijnlijk een groot risico inhoudt voor de rechten en vrijheden van betrokkenen, dit onmiddellijk aan de betrokkenen gemeld moet worden. De waarschijnlijkheid van de risico moet worden beoordeeld aan de hand omstandigheden van het geval. De inbreuk hoeft echter niet gemeld te worden aan de betrokkenen indien voorafgaand aan de inbreuk al maatregelen zijn getroffen, dat het lezen van de persoonsgegevens voor onbevoegden niet mogelijk is, zoals door middel van pseudonimisering. Daarnaast hoeft de inbreuk ook niet gemeld te worden indien er maatregelen zijn genomen waardoor er geen sprake meer is van een groot risico voor de rechten en vrijheden van betrokkenen. Tot slot hoeft de inbreuk niet gemeld te worden indien een mededeling onevenredig spanning zou vergen, in dit geval kan de mededeling vervangen worden door een openbare bekendmaking van het datalek.

In de melding moet in duidelijke taal opgenomen staan: de omschrijving van de aard van de inbreuk, contactgegevens privacy contactpersoon van de organisatie, de waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn getroffen om de inbreuk aan te pakken.

In dit blog werd besproken wat een datalek is, wat het protocol ingeval een datalek moet zijn, en wanneer de inbreuk gemeld moet worden aan de Autoriteit Persoonsgegevens en aan de betrokkenen.