Datalekken…veel over gehoord, maar wat is het eigenlijk?

De meldplicht datalekken

Vooruitlopend op het in werking treden van de nieuwe privacy wetgeving per 25 mei 2018 is in Nederland op 1 januari 2016 de Wet Meldplicht Datalekken in werking getreden. Met deze wet is de Wet bescherming persoonsgegevens (Wbp) aangevuld met een verplichting voor organisaties om datalekken te melden bij de toezichthouder, de Autoriteit Persoonsgegevens (AP).Vanaf 25 mei 2018 wordt de nieuwe privacy wetgeving, de General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), gehandhaafd. De meldplicht datalekken maakt onverkort deel uit van de AVG (o.a. artikel 33 en 34) en vervangt vanaf dat moment ook de Wet Melplicht Datalekken. Op zich verandert er niet veel, alleen de boetes zijn fors aangepast.

Wat is een datalek?

Een datalek is het onbedoeld vrijkomen, wijzigen, vernietigen of toegankelijk worden van persoonsgegevens. Bij een datalek zijn persoonsgegevens blootgesteld aan verlies, diefstal (als gevolg van een hack bijvoorbeeld) of onrechtmatige verwerking. In alle genoemde gevallen is er sprake van een inbreuk op de beveiliging van persoonsgegevens. Een datalek kan bijvoorbeeld ontstaan door het hacken van een databestand, een gestolen laptop, verkeerd bezorgde poststukken, het kwijtraken van een USB-stick, maar ook door het kennisnemen van persoonsgegevens, die een persoon niet specifiek nodig heeft voor het uitvoeren van zijn/haar taak/werk.

Een datalek kan ernstige gevolgen hebben voor de organisatie. Een vaak aangehaald voorbeeld van een datalek is het datalek bij Yahoo, waarbij de accountgegevens van 3 miljard (!) gebruikers zijn buitgemaakt door hackers. De gevolgen van zo’n datalek kunnen catastrofaal zijn. Boetes ter hoogte van maximaal € 20.000.000 of 4% van de wereldwijde jaaromzet (AVG artikel 83) kunnen worden opgelegd. En dit is nog afgezien van eventuele schadeclaims en opgelopen reputatieschade….

Wet meldplicht datalekken

Gelukkig hoeven niet alle datalekken te worden gemeld. Datalekken, waarbij sprake is van inbreuken op de beveiliging die leiden tot een ‘aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’ moeten worden gemeld.

In bepaalde gevallen moet ook de betrokkene worden ingelicht over het verloren zijn gegaan van hun persoonsgegevens (AVG artikel 34).

Niet ieder datalek hoeft te worden gemeld. In het geval er data is gelekt, waarbij geen sprake is van ernstige nadelige gevolgen, hoeft geen melding te worden gemaakt bij de AP. Het is wel van belang ieder datalek te registreren: goed inzicht in de mogelijke datalekken en een goede procedure op het moment dat zich een datalek voordoet, zijn van groot belang om risico’s en escalatie zo klein mogelijk te houden.

Naast het creëren van bewustwording ten aanzien van het veilig verwerken van persoonsgegevens bij de medewerkers is adequate beveiliging een belangrijke stap om datalekken te voorkomen. De AP heeft voor adequate beveiligingsmaatregelen richtsnoeren in de vorm van beleidsregels opgesteld.

Algemene Verordening Gegevensbescherming (AVG)

Zoals al aangegeven vervangt vanaf 25 mei 2018 de AVG de nu nog van kracht zijnde Wbp. De AVG kent ook een meldplicht datalekken (AVG artikel 33/34), die voor de overige EU lidstaten dan van kracht gaat worden. De Nederlandse Wet Meldplicht Datalekken is hierop al een voorschot.

De verwerkingsverantwoordelijke is onder de AVG, net zoals onder de huidige Wbp, verplicht om verzamelde persoonsgegevens adequaat te beveiligen. Als ondanks de beveiligingsmaatregelen toch persoonsgegevens worden gelekt, is de verwerkingsverantwoordelijke verplicht dit binnen 72 uur na constatering van het datalek aan de toezichthouder (en eventueel aan de betrokkene) te melden. In het geval een datalek zich voordoet bij een verwerker, dan is de verwerker verplicht de verwerkingsverantwoordelijke binnen 24 uur na constatering van het datalek te informeren.

Adequate beveiliging van verzamelde persoonsgegevens moet conform de AVG onder andere worden bewerkstelligd door middel van Privacy by Design en Privacy by Default. Dit houdt in dat bij de ontwikkeling van nieuwe producten en diensten, waarbij persoonsgegevens worden verwerkt, privacy-verhogende aspecten moeten worden ingebouwd in het ontwerp (design) en de meest privacy-vriendelijke instellingen moeten als standaard worden ingesteld (default).

Wat zijn de risico’s?

Met de inwerkingtreding van de AVG kunnen boetes oplopen tot maar liefst M€ 20 of 4% van de jaarlijkse globale omzet per overtreding.

Bovendien is een juiste omgang met persoonsgegevens gekoppeld aan het vertrouwen dat klanten stellen in organisaties. Wanneer een private of publieke organisatie op een verkeerde manier met persoonsgegevens om gaat zal het vertrouwen in die organisatie worden geschaad, wat kan leiden tot reputatieschade en een verslechterde positie in de markt.

Wat de doen bij een datalek?

Wanneer een datalek zich eenmaal voordoet moeten organisaties snel handelen om de negatieve gevolgen van een datalek beperkt te houden. De reputatie van een organisatie staat of valt door middel van goede communicatie naar de buitenwereld en betrokkenen. Door middel van transparantie en sterke communicatie naar de buitenwereld kan de schade van een datalek worden beperkt. Daarnaast moeten maatregelen worden genomen om het datalek te dichten en herhaling te voorkomen.

Door middel van het inrichten van de juiste processen en procedures en het vooraf goed nadenken over de manier van communiceren kunnen organisaties zich optimaal voorbereiden op het afhandelen van potentiële datalekken……

Datalekken en de AP

Organisaties zijn verplicht een datalek te melden bij de Autoriteit Persoonsgegevens (AP). De AP publiceert in 2017 elk kwartaal een totaaloverzicht van alle gemelde datalekken. De AP maakt alleen bekend over welke sectoren zij de meeste meldingen heeft ontvangen.

Meldingen tweede kwartaal 2017

Van april tot en met juni 2017 zijn er bijna 2400 datalekken gemeld aan de AP. De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (31%), financiële dienstverlening (20%) en openbaar bestuur (19%). Deze percentages zijn vergelijkbaar met de percentages van het eerste kwartaal van 2017.

In onderstaande afbeelding ziet u welk soort persoonsgegevens het vaakst zijn gelekt in het 2e kwartaal van 2017.