Wanneer moet je een datalek melden?

De term ‘datalek’ komt in de AVG zelf niet voor. De AVG heeft het over een inbreuk in verband met persoonsgegevens. Kort gezegd noemen we dit dus een datalek, maar wanneer is daarvan sprake?

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Daarvan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot bijvoorbeeld verlies of ongeoorloofde toegang tot persoonsgegevens (artikel 4 onder 12 AVG). Sprekende voorbeelden hiervan zijn het kwijtraken van een USB-stick met niet versleutelde persoonsgegevens, een e-mail met daarin persoonsgegevens die naar een verkeerde geadresseerde is gezonden, of een hack waarbij persoonsgegevens zijn buitgemaakt.

Wat te doen in zo’n situatie? Dat hangt op de eerste plaats af van de rol die je hebt. Als je verwerker bent, dan moet je, zodra je kennis hebt genomen van het datalek, dit zonder onredelijke vertraging melden bij de verantwoordelijke. Ben je de verantwoordelijke, dan moet je binnen 72 uur nadat je van het datalek op de hoogte bent, dit melden bij de Autoriteit Persoonsgegevens (AP). Deze meldingsplicht is echter niet absoluut. Melding kan achterwege blijven als het onwaarschijnlijk is dat er een risico is voor ‘de rechten en vrijheden’ van degene op wie de persoonsgegevens zien. Per geval zal dit moeten worden beoordeeld.

Maar wat wordt nu verstaan onder een risico voor de rechten en vrijheden van degene op wie de persoonsgegevens betrekking hebben? Een datalek kan verschillende nadelige gevolgen voor personen hebben, wat kan leiden tot lichamelijke, materiële of immateriële schade. Dit is nog wat abstract maar wat betekent dit nu concreet? Denk aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, verlies van vertrouwelijkheid van gevoelige gegevens, enz. Er moet dus gemeld worden bij de AP, tenzij het niet waarschijnlijk is dat er nadelige effecten zijn voor de perso(o)n(en) in kwestie.

Goed om te weten is dat van álle datalekken, dus zowel degene die gemeld moeten worden als degene die niet gemeld hoeven te worden, een overzicht moet worden bijgehouden. Dat overzicht moet een toelichting bevatten op de feiten omtrent het datalek, de gevolgen ervan en de genomen maatregelen.

In bepaalde gevallen moet de verantwoordelijke een datalek niet alleen melden bij de AP, maar moeten ook de getroffen personen worden geïnformeerd. Dat is het geval als het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de perso(o)n(en) in kwestie. De drempel om betrokken personen in te lichten ligt dus wat hoger. Er is sprake van een hoog risico als het datalek kan leiden tot lichamelijke, materiële of immateriële schade voor de personen. Bijvoorbeeld discriminatie, identiteitsdiefstal of -fraude, financieel verlies en reputatieschade.

Twijfel je of er sprake is van een datalek, of er wel of niet een melding bij de AP moet worden gedaan, of dat de betrokken personen moeten worden geïnformeerd? Bel ons gerust!